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内 容 提 要 


本 书 是 国内 图 书市 场 第 一 本 ， 也 是 目前 唯一 一 本 专门 介绍 华为 AR 系列 路 由 器 〈 华 为 $ 系列 交换 机 
也 支持 部 分 VPN 方案 ， 技 术 原 理 及 大 多 数 配 置 方法 适用 于 华为 NE 系列 路 由 器 和 USG 系列 防火 墙 ) IP 
网 络 中 各 项 VPN 技术 及 应 用 配置 的 权威 工具 图 书 ， 同 时 也 是 华为 技术 有 限 公 司 指定 的 ICT 认证 系列 培 
训 教材 。 全 书 共 9 章 ， 第 1 章 比较 全 面 、 深 入 地 介绍 了 各 种 IP VPN 技术 基础 知识 和 技术 原理 ， 第 2 一 4 
章 分 别 介绍 了 IPSec VPN 的 各 种 技术 原理 ， 以 及 不 同 部 署 方式 下 的 配置 与 管理 方法 ; 第 5~7 章 分 别 介 绍 
了 L2TP VPN、GRE VPN 和 DSVPN 的 各 种 技术 原理 及 配置 与 管理 方法 ; 第 8 章 介 绍 了 PKI 体系 架构 的 
各 种 技术 原理 , 以 及 不 同方 式 下 的 本 地 数字 证 书 的 申请 方法 , 为 第 9 章 采 用 数字 证 书 进 行 身份 认证 的 SSL 
VPN 方案 部 署 打 基础 ， 第 9 章 系 统 地 介绍 了 SSL VPN 部 署 中 有 关 的 SSL 策略 、HTTPS 服务 器 ， 以 及 
SSL VPN 网 关 等 方面 的 配置 与 管理 方法 。 

本 书 结合 了 笔者 20 多 年 的 工作 经 验 ， 其 内 容 非 常 全 面 、 系 统 。 为 了 帮助 大 家 真正 理解 各 项 技术 原 
理 及 各 种 VPN 方案 的 配置 思路 ， 除 第 1 章 外 ， 其 他 各 章 均 有 大 量 的 配置 示例 ， 并 对 一 些 典型 故障 排除 方 
法 进行 了 详细 的 介绍 。 另 外 ， 本 书 经 过 了 华为 技术 有 限 公司 多 位 专家 指导 和 审核 ， 因 此 本 书 无 论 在 专业 
性 方面 , 还 是 在 经 验 性 和 实用 性 方面 均 有 很 好 的 保障 , 是 相关 人 员 自 学 或 者 教学 华为 设备 VPN 配置 与 管 
理 的 必 选 教材 。 
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厅 


人 类 社会 和 人 类 文明 发 展 的 历史 也 是 一 部 科学 技术 发 展 的 历史 。 半 个 多 世纪 以 来 ， 
精彩 纷呈 的 ICT 技术 ， 汇 聚 成 了 波澜 壮阔 的 互联 网 ， 突 破 了 时 间 和 空间 的 限制 ， 把 人 类 
社会 和 人 类 文明 带 入 到 前 所 未 有 的 高 度 。 今 天 ， 人 类 社会 已 经 步 入 网 络 和 信息 时 代 ， 我 
们 已 经 处 在 无 处 不 在 的 网 络 连 接 中 。 联 接 已 经 成 为 一 种 常态 ， 信 息 浪 潮 迅 速 而 深刻 地 改 
变 着 我 们 的 工作 和 生活 。 人 们 与 世界 联接 得 如 此 紧密 ， 实 现 了 随时 随地 上 自由 沟通 ， 对 信 
县 与 数据 的 获取 、 分 享 也 唾 手 可 得 。 这 意味 着 ， 这 个 联接 的 世界 ， 正 以 超 乎 想象 的 速度 
与 力量 ， 对 人 类 社会 的 政治 、 经 济 、 商 业 文 明和 生产 方式 等 进行 全 面 的 重 塑 。 

ICT 正在 蓬勃 发 展 ， 移 动 化 、 物 联网 、 云 计算 和 大 数据 等 新 趋势 正在 引领 行业 开创 
新 的 格局 。 世 界 正在 发 生 影响 深远 的 数字 化 变革 ， 互 联网 正在 促进 传统 产业 的 升级 和 重 
构 。 通过 以 业务 、 用 户 和 体验 为 中 心 的 敏捷 网 络 架 构 将 深刻 影响 着 未 来 数字 社会 的 基础 。 
我 们 深 知 每 个 人 都 拥有 平等 的 数字 发 展 机 会 ， 这 对 于 构建 一 个 更 加 公平 的 现实 世界 至 关 
重要 。 

ICT 产业 的 发 展 离 不 开 人 才 的 支撑 ， 产 业 的 变革 也 将 对 ICT 行业 人 才 的 知识 体系 和 
综合 技能 提出 更 高 的 挑战 。 作 为 全 球 领先 的 信息 与 通信 和 解决 方案 供应 商 ， 华 为 的 产品 与 
解决 方案 已 广泛 应 用 于 金融 、 能 源 、 交 通 、 政 府 、 制 造 等 各 个 行业 。 同 时 ， 我 们 也 非常 
注重 对 ICT 专业 人 才 的 培养 。 所 以 ， 我 们 与 行业 专家 、 高 校 老师 合作 编写 了 “华为 ICT 
认证 系列 丛书 ”， 旨 在 为 广大 用 户 、ICT 从 业者 ， 以 及 愿意 投身 到 ICT 行业 中 的 人 士 提供 
更 加 便利 的 学 习 帮 助 。 

继 2014 年 与 国内 资深 网 络 技术 专家 、 业 界 知名 作者 王 达 老师 合作 并 出 版 《华为 交 
换 机 学 习 指 南 》《 华 为 路 由 器 学 习 指南 》 以 来 ， 华 为 ICT 认证 系列 丛书 得 到 广大 读者 的 
高 度 肯定 和 大 力 支 持 。 随 着 读者 朋友 的 成 长 ， 大 家 淘 望 更 加 专业 的 技术 学 习 。 其 中 在 各 
大 企业 广泛 使 用 的 VPN 技术 ， 以 及 在 各 个 行业 广泛 使 用 的 MPLS 技术 就 是 典型 代表 。 
为 此 , 我 们 再 度 与 王 达 老师 合作 并 出 版 《华为 VPN 学 习 指 南 》 一 书 ( 另 一 本 《华为 MPLS 
学 习 指 南 》 也 将 很 快 上 市 ) 。 这 本 书 从 学 习 和 实用 的 角度 ， 基 于 学 习 的 逻辑 对 知识 点 进 
行 了 系统 地 组 织 编排 ,书籍 由 浅 入 深 , 让 读者 逐步 掌握 各 种 VPN 技术 原理 和 应 用 方案 配 
置 与 管理 方法 .同时 该 书 中 配备 了 大 量 不 同 场景 下 的 各 种 VPN 方案 的 应 用 配置 示例 和 典 
型 故障 排除 方法 ， 让 读者 能 够 真正 地 学 以 致 用 。 和 希望 本 书 能 够 帮助 读者 快速 地 学 习 华 为 
设备 的 VPN 技术 ， 不 断 提 升 ， 在 ICT 行业 大 展 身 手 ! 


月 于 


路 漫漫 其 修 远 分 ， 吾 将 上 下 而 求索 。2017 年 伊始 ， 笔 者 又 踏 上 挑战 自我 的 漫漫 征 
程 。 历 经 数 月 ， 终 于 如 期 、 如 质 完 成 本 书 创作 ， 倍 感 欣 慰 。 在 此 要 感谢 我 的 家 人 对 我 
的 大 力 文 持 。 


本 书 出 版 背景 


自从 2014 年 笔者 与 华为 技术 有 限 公 司 、 人 民 邮 电 出 版 社 合作 出 版 了 《华为 交换 机 
学 习 指南 》 和 《华为 路 由 器 学 习 指 南 》 图 书后 ， 许 多 读者 一 直 在 退 问 为 什么 没有 VPN 和 
MPLS 方面 的 内 容 ， 尽 管 笔者 一 再 向 他 们 解释 是 由 于 篇 幅 实 在 放 不 下 ， 可 他 们 仍然 希望 
我 尽快 出 本 专著 把 这 两 部 分 的 内 容 补 上 。 

读者 的 心情 是 可 以 理解 的 ， 因 为 目前 国内 图 书市 场 上 的 确 还 没有 专门 介绍 华为 设备 
VPN 和 MPLS 方面 的 专业 图 书 。 十 多 年 来 ， 笔 者 出 版 过 60 余部 著作 ， 几 乎 每 一 本 都 得 
到 了 读者 的 大 力 文 持 和 高 度 肯 定 ， 从 中 可 以 看 出 ， 只 要 是 用 心 写 的 好 书 ， 读 者 的 文 持 是 
义无反顾 的 。 这 一 点 在 三 年 前 出 版 的 《华为 交换 机 学 习 指 南 》 和 《华为 路 由 器 学 习 指 丙 》 
两 本 图 书 上 得 到 了 更 充分 的 体现 ， 因 为 这 两 本 书 上 市 三 年 来 ， 一 再 重印 (截至 目前 一 共 
印刷 近 30 次 )， 并 且 许 多 培训 机 构 和 高 校 做 了 教材 。 

尺 管 如 此 ， 笔 者 深 知 要 把 这 两 部 分 内 容 写 好 ， 难 度 还 是 非常 大 的 ， 因 为 涉及 太 多 复 
杂技 术 原 理 和 应 用 配置 ， 而 且 一 本 书 的 篇 幅 是 远 远 不 够 的 。 由 于 笔者 一 直 都 很 已 ， 很 难 
下 这 个 决心 。 直 到 今年 ， 经 过 近 三 年 时 间 的 努力 ， 我 的 会 员 视频 课程 已 完成 过 半 ， 可 以 
稍稍 停顿 一 下 ， 才 正式 下 决心 分 两 本 书 把 这 两 部 分 内 容 给 大 家 补 上 。 经 过 与 华为 技术 有 
限 公 司 、 人 民 邮 电 出 版 社 沟 通 ， 也 得 到 了 他 们 各 级 领导 的 大 力 文 持 ， 于 是 就 有 了 这 两 本 
新 书 的 漫漫 创作 之 路 。 

本 书 与 前 面 出 版 的 《华为 交换 机 和 学习 指南 》 和 《华为 路 由 器 学 习 指 南 》 一 样 ， 也 得 
到 了 华为 技术 有 限 公 司 许多 一 线 产 品 专家 的 严格 审核 和 技术 把 关 ， 提 供 了 许多 宝贵 的 技 
术 指 导 和 修订 意见 ， 还 有 人 民 邮 电 出 版 社 编辑 老师 的 多 次 编辑 、 审 核 ， 所 以 本 书 无 论 从 
专业 性 、 实 用 性 ， 还 是 从 图 书 编排 、 出 版 质量 上 都 有 着 非 一 般 图 书 可 比 的 全 线 保障 ， 裤 
请 大 家 放心 选 购 。 希 望 这 两 本 书 能 继续 得 到 大 家 的 言 爱 ， 更 希望 这 两 本 书 能 给 大 家 带 来 
一 些 实 实 在 在 的 帮助 。 同 时 也 衷心 地 感谢 华为 技术 有 限 公 司 和 人 民 邮 电 出 版 社 这 么 多 位 
领导 的 大 力 文 持 ， 感 谢 各 位 参与 本 书 编审 的 技术 专家 和 编辑 老师 们 的 辛 勒 付出 ， 你 们 辛 
a 


服务 与 支持 


为 了 加 强 与 读者 朋友 们 的 交流 与 沟通 ， 同 时 也 方便 读者 朋友 们 相互 交流 与 学 习 ， 及 
时 了 解 图 书 配套 视频 课程 、 在 线 培 训 资讯 ， 笔 者 向 大 家 提供 了 全 方位 的 交流 平台 : 


华为 VPN 学 习 指 南 


。 超级 读者 、 学 员 交 流 QQ 群 

读者 交流 QQ 群 : 516844263 
视频 读 程 学 员 QQ 群 : 398772643 

。 两 个 专家 博客 

51CTO 博客 : http://winda.blog.51cto.com 
CSDN 博客 : http://blog.csdn.net/lycb gz 
。 两 个 认证 微 博 

新 滔 微 博 : weibo.com/winda 

腾讯 微 博 : t.qq.com/winda2010 


。 两 个 视频 谍 程 中 心 〈 可 分 期 购买 下 载 版 终身 会 员 ， 获 得 全 部 视频 课程 ) 
51CTO 学 院 课程 中 心 : http://edu.51cto.com/lecturer/user id-55153.html 
CSDN 学 院 课程 中 心 : http://edu.csdn.net/lecturer/74 


e 微 信 及 公众 号 
做 信 : windanet 【〔 加 入 后 可 拉 入 读者 微 信和 群 ) 


微 信 公众 号 : windanetclass 
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了 ， 大 家 也 都 从 这 本 书 内 容 的 专业 性 和 实用 性 中 感受 到 巨大 的 成 就 感 。 真 心 布 望 本 书 
给 大 家 带 来 一 些 实际 的 帮助 ， 得 到 大 家 一 如 既往 的 支持 与 喜爱 ， 更 诚挚 欢 迎 、 接 受 大 家 
的 批评 与 指正 。 


本 书 特色 


本 书 在 编写 过 程 中 ， 聚 集 了 多 位 专家 老师 的 智慧 和 专业 技能 ， 也 权衡 了 各 位 专家 老 
师 在 图 书 定位 、 内 容 编排 、 整 书 框架 部 署 、 以 及 具体 的 知识 点 写作 等 方面 的 建议 。 使 得 
本 书 具有 了 许多 以 下 鲜明 特色 。 

(1) 华为 安全 HCNP 技能 学 习 、 培 训 的 指定 教材 

本 书 由 华为 技术 有 限 公 司 官 方 直接 授权 创作 ， 在 具体 编写 过 程 中 既 充分 考虑 了 普通 
读者 系统 学 习 VPN 技术 及 功能 配置 与 管理 方法 的 需求 ， 同 时 也 考虑 到 了 参加 华为 安全 
HCNP 认证 考试 的 学 习 需 求 。 本 书 是 国内 第 一 本 、 也 是 唯一 一 权威 的 华为 网 络 安全 领域 
VPN 技术 自学、 培训 教材 。 

(2) 内 容 全 面 、 系 统 、 深 入 ， 一 册 无 忧 

本 书 是 专门 针对 华为 设备 各 种 IP VPN (包括 IPSec VPN、L2TP VPN、GRE VPN、 
DSVPN 和 SSL VPN) 方案 进行 内 容 编排 的 ， 不 仅 介 绍 了 各 种 VPN 方案 所 涉及 的 各 方面 
技术 原理 , 还 全 面 介 绍 了 各 种 VPN 在 不 同 场景 下 的 配置 与 管理 方法 。 真 正 的 “一 册 在 手 ， 
别 无 所 求 ”。 

(3) 通俗 原理 剖析 与 完善 配置 思路 结合 

为 了 帮助 大 家 真正 理解 和 掌握 各 种 VPN 方案 的 实现 原理 ， 在 本 书 中 笔者 结合 了 近 
20 年 的 工作 和 学 习 经 验 ， 对 各 种 VPN 方案 所 涉及 的 许多 比较 高 深 、 复杂 的 技术 原理 进 
行 了 深入 、 通 俗 化 地 剖析 ， 许 多 纯 是 经 验 之 谈 ， 其 他 渠道 很 难 获 取 。 男 外 ， 为 了 帮助 大 
家 对 各 种 VPN 方案 在 不 同 场景 下 的 配置 思路 和 方法 有 一 个 清晰 的 认识 , 笔者 在 内 容 编排 
上 采取 了 分 门 别 类 的 方式 进行 讲解 ， 使 大 家 可 以 非常 快捷 地 找到 对 应 场景 下 的 完整 配置 
思路 和 方法 。 

(4) 大 量 配置 示例 和 故障 排除 方法 结合 

为 了 增强 本 书 的 实用 性 ， 在 介绍 完 每 一 种 相关 功能 配置 后 都 列举 了 大 量 的 不 同 场 景 
下 的 配置 示例 ， 以 加 深 大 家 对 前 面 所 学 技术 原理 和 具体 配置 与 管理 方法 的 理解 。 许 多 配 
置 示例 完全 可 直接 应 用 于 不 同 现实 场景 。 另 外 , 为 了 使 大 家 能 在 部 署 VPN 方案 时 对 所 遇 
到 的 各 种 故障 迅速 地 进行 排除 ， 在 大 部 分 章 的 最 后 都 介绍 了 针对 一 些 典型 故障 现象 的 排 
除 方法 ， 使 得 本 书 具 有 非常 高 的 专业 性 和 实用 性 。 


经 过 数 月 、 数 十 位 编号、 审核 人 员 的 辛勤 创作 和 一 次 又 一 次 的 修改 ， 本 书 终于 完稿 
能 
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适用 读者 对 象 


本 刷 具 备 极 高 的 系统 性 、 专 业 性 和 实用 性 ， 适 合 于 各 层次 的 读者 ， 有 具体 如 下 。 
。 使 用 华为 AR 系列 路 由 器 、USG 系列 防火 墙 产品 的 用 户 《〈 华 为 $ 系列 交换 机 支持 
部 分 功能 ); 
。 华为 培训 合作 伙伴 、 华 为 网 络 学 院 的 学 员 ; 
高 等 院 校 的 计算 机 网 络 专业 学 生 ; 
。 布 望 从 零 开始 系 统 学 习 华为 设备 VPN 技术 的 读者 ; 
。 和 布 望 有 一 本 可 在 平时 工作 中 碍 阅 的 华为 设备 VPN 技术 手册 的 读者 。 


本 书 主要 内 容 


本 书 是 国内 图 书市 场 中 第 一 本 专门 介绍 华为 VPN 技术 原理 及 配置 与 管理 方法 的 工 
具 图 书 ， 也 是 华为 ICT 认证 系列 培训 教材 。 全 书 共 9 章 ， 以 华为 AR 系列 路 由 器 (部 分 
VPN 方案 也 适用 于 华为 $ 系列 交换 机 , 其 中 的 技术 原理 及 大 多 数 配 置 方 法 同样 适用 于 华 
为 USG 系列 防火 墙 ) 所 支持 的 各 种 IP VPN (基于 MPLS 的 VPN 将 在 《华为 MPLS 学 
习 指 南 》 一 书 中 介绍 ) 方案 为 主线 全 面 、 系 统 、 深 入 地 介绍 了 IPSec VPN、L2TP VPN、 
GRE VPN、DSVPN 和 SSL VPN 的 各 方面 技术 原理 及 各 项 功能 的 配置 与 管理 方法 。 各 章 
的 基本 内 容 如 下 。 

第 1 章 VPN 基础， 从 宏观 角度 ， 比 较 全 面 介 绍 了 IP VPN 技术 的 一 些 基 础 知识 ， 
包括 VPN 的 定义 、 分 类 、 各 种 隧道 协议 (PPTP、L2TP、GRE、IPSec、MPLS)， 以 及 各 
种 安全 技术 原理 ， 包 括 PAP、CHAP 身份 认证 原理 ， 数 据 加 密 、 数 字 签 名 、 数 字 信 封 、 
数字 证 书 技术 原理 ，MD5、SHA、SM3、AES、DES 等 认证 或 加 密 算法 原理 。 

第 2 章 IPSec 基础 及 手工 方式 IPSec VPN 配置 与 管理 : 本 章 首先 全 面 、 系 统 地 介绍 了 
IPSec 相关 的 基础 知识 和 技术 原理 ， 包 括 IPSec 的 安全 机 制 、 封 装 模 式 、AH 和 ESP 报头 格 
式 ，IPSec 保护 数据 流 定义 方式 ， 以 及 IPSec 隧道 建立 原理 和 IKEv1/V2 密 钥 交换 原理 。 然 后 
专门 介绍 采用 基于 ACL 定义 保护 数据 流 的 手工 方式 建立 IPSec 隧道 的 配置 与 管理 方法 。 在 
最 后 介绍 了 在 采用 手工 方式 建立 IPSec 隧道 过 程 中 可 能 出 现 的 一 些 典 型 故障 的 排除 方法 。 

第 3 章 ”IKE 动态 协商 方式 建立 IPSec VPN 的 配置 与 管理 ;本 章 专门 介绍 了 在 采用 
基于 ACL 定义 保护 数据 流 的 IKE 协议 动态 协商 方式 建立 IPSec 隧道 的 配置 与 管理 方法 。 
本 章 有 大 量 针对 不 同 应 用 场景 下 的 配置 示例 ， 并 在 最 后 也 专门 介绍 了 在 采用 IKE 协议 动 
态 协 商 建 立 IPSec 隧道 的 过 程 中 可 能 出 现 的 一 些 典型 故障 的 排除 方法 。 

第 4 章 基于 Tunnel 接口 和 Efficient VPN 策略 的 IPSec VPN 配置 与 管理 :本 章 介 
绍 了 基于 Tunnel 接口 定义 保护 数据 流 和 基于 Efficient VPN 策略 建立 IPSec 隧道 的 配置 与 
管理 方法 。 基 于 隧道 接口 方式 的 主要 特点 是 无 需 通 过 ACL 来 定义 数据 流 ， 凡 是 通过 
Tunnel 接口 转 的 数据 流 都 将 被 IPSec 保护 ; 基于 Efficient VPN 策略 方式 可 以 使 远程 终端 
的 配置 极为 简单 ， 更 适合 采用 动态 IP 公 网 接 入 的 移动 办 公用 户 远 程 接 入 企业 网 络 。 

第 5 章 L2TP VPN 配置 与 管理 : 本 章 专 门 介 绍 了 L2TP VPN 这 种 二 层 VPN 解决 方 
案 所 涉及 的 各 方面 基础 知识 、 技 术 原 理 和 具体 功能 配置 与 管理 方法 。 在 基础 方面 主要 包 
括 L2TP VPN 体系 架构 、L2TP 协议 报 文 格式 ，L2TP 隧道 模式 ;在 技术 原理 方面 主要 涉 
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及 L2TP 报 文 的 封装 和 传输 原理 、 各 种 L2TP 隧道 模式 的 隧道 建立 流程 。 在 本 章 最 后 列 
举 了 多 个 不 适用 不 同 场景 下 的 L2TP VPN 配置 示例 ， 介 绍 了 在 L2TP VPN 部 署 中 可 能 
现 的 一 些 典 型 故障 的 排除 方法 。 

第 6 章 GRE VPN 配置 与 管理 : 本 章 专门 介绍 了 GRE VPN 解决 方案 所 涉及 的 各 方 
面 基础 知识 、 技 术 原 理 和 具体 功能 配置 与 管理 方法 。 主 要 包括 GRE 协议 报 文 格式 、GRE 
报 文 的 封装 和 解 封 装 原理 、GRE 安全 机 制 和 GRE 隧道 配置 与 管理 方法 。 在 本 章 最 后 列 
举 了 多 个 不 适用 不 同 场景 下 的 GRE VPN 配置 示例 , 介绍 了 在 GRE VPN 部 署 中 可 能 出 现 
的 一 些 典 型 故障 的 排除 方法 。 

第 7 章 DSVPN 配置 与 管理 : 本 书 专门 介绍 了 DSVPN 解决 方案 所 涉及 的 各 方面 基 
础 知识 、 技 术 原 理 和 具体 功能 配置 与 管理 方法 。 主 要 包括 mGRE 协议 报 文 的 封装 和 解 封 
装 原 理 、NHRP 协议 工作 原理 、shortcut 和 非 shortcut 场景 的 DSVPN 工作 原理 、DSVPN 
NAT 穿越 和 IPSec 保护 原理 ,以 及 shortcut 和 非 shortcut 场景 下 DSVPN 隧道 配置 与 管理 
方法 。 在 本 章 最 后 列举 了 多 个 不 适用 不 同 场景 、 不 同 路 由 方式 下 的 DSVPN 配置 示例 ， 
介绍 了 在 DSVPN 部 署 中 可 能 出 现 的 一 些 典 型 故障 的 排除 方法 。 

第 8 章 PKI 配 置 与 管理 : 本 章 是 为 第 9 章 介绍 SSL VPN 打 基 础 ， 其 目的 是 为 设备 
申请 本 地 数字 证 书 ,， 因 为 在 SSL VPN 部 署 中 要 用 到 数字 证 书 进 行 喘 份 认证 。 本章 主要 围 
绕 本 地 数字 证 书 的 申请 、 下 载 、 安 装 、 更 新 介绍 了 PKI 各 方面 的 基础 知识 、 技 术 原 理 和 
具体 功能 配置 与 管理 方法 。 在 基础 知识 和 技术 原理 方面 包括 PKI 体系 架构 、 数 字 证 书 结 
构 和 分 类 、PKI 工作 机 制 。 在 本 章 最 后 列举 了 多 个 采用 不 同方 式 申 请 本 地 证 书 的 配置 示 
例 ， 介 绍 了 在 本 地 证 书 申请 过 程 中 可 能 出 现 的 一 些 典 型 故障 的 排除 方法 。 

第 9 章 SSL VPN 配置 与 管理 : 本 章 围绕 SSL VPN 部 署 过 程 中 除了 PKI 数字 证 书 
以 外 的 SSL 策略 、HTTPS 服务 器 、SSL VPN 这 三 个 方面 的 功能 与 管理 方法 进行 介绍 。 
部 署 SSL VPN 首先 要 把 网 关 设 备 配置 为 HTTPS 服务 器 ， 以 供 远程 用 户 可 以 通过 浏览 
以 Web 方式 进行 访问 。 在 HTTPS 服务 器 的 配置 过 程 中 需要 配置 SSL 服务 右 人 策略 ， 而 在 
创建 SSL 服务 器 策略 时 又 要 用 到 设备 的 本 地 证 书 。 最 后 把 设备 配置 为 SSL VPN 网 关 ， 
为 远程 用 户 提 供 访 问 企业 内 网 资源 的 Web 页 面 。 同样 ,在 本 章 最 后 也 列举 了 多 个 基于 不 
同业 务 类 型 的 SSL VPN 配置 示例 。 


阅读 注意 地 方 


在 阅读 本 书 时 ， 请 注意 以 下 几 个 地 方 。 

。 书 中 是 以 华为 最 新 一 代 AR G3 系列 路 由 器 、V200R006 及 以 后 版 本 VRP 系统 的 
配置 为 主线 进行 介绍 。 

。 在 配置 命令 代码 介绍 中 , 粗 体 字 部 分 是 命令 本 身 或 关键 字 选 项 部 分 , 是 不 可 变 的 ; 
斜体 字 部 分 是 命令 或 者 关键 字 的 参数 部 分 ， 是 可 变 的 。 

e 在 介绍 各 种 VPN 技术 及 功能 配置 说 明 过 程 中 ， 对 于 一 些 需 要 特别 注意 的 地 方 均 
以 粗 体 字 格式 加 以 强调 ， 以 便 读者 在 阅读 学 习 时 引起 特别 注意 。 

。 为 了 使 书 中 内 容 具 有 更 广 的 适用 性 ， 在 介绍 具体 的 配置 步骤 过 程 中 ， 对 一 些 命令 
在 不 同 VRP 系统 厂 本 中 的 文 持 情况 做 了 有 具体 说 明 。 
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本 章 作为 本 书 开篇 ， 将 对 本 书后 续 各 章 所 涉及 的 一 些 公 用 技术 基础 知识 和 技术 原理 
进行 介绍 。 其 中 主要 包括 VPN 定义 (这 对 理解 什么 是 VPN 很 重要 )、VPN 的 分 类 ， 以 
及 各 种 VPN 隧道 技术 (如 PPTP、L2TP、IPSec、GRE、MPLS 等 )、VPN 身份 认证 技术 
(如 PAP、CHAP、AH、ESP )、 认 证 算法 (如 MD5、SHA、SM3 ) 和 加 密 算法 (如 AES、 
DES、3DES 等 )， 以 及 加 密 、 数 字 签 名 和 数字 信封 技术 原理 ， 为 本 书后 续 各 章 的 学 习 打 
下 基础 。 

因为 本 书 的 重点 是 后 续 各 章 将 要 介绍 华为 AR G3 系列 路 由 器 中 所 支持 的 各 种 VPN 
解决 方案 的 具体 配置 与 管理 方法 ， 所 以 对 于 一 些 复杂 的 认证 算法 和 加 密 算 法 的 具体 运算 
原理 无 需 有 太 深 入 的 了 解 。 


1.1 VPN 的 起 源 、 定 义 与 优势 


任何 技术 的 诞生 都 有 其 特定 的 应 用 需求 背景 ， 即 是 由 需求 驱动 产生 的 。 在 计算 机 网 
络 发 展 初 期 ， 各 企业 的 局 域 网 基本 上 都 处 于 同一 地 点 ， 无 分 机 构 网 络 ， 也 就 无 需 进 行 远 
程 连接 。 但 随 看 经 济 的 发 展 ， 计 算 机 网 络 应 用 的 普及 和 发 展 日 趋 完 善 ， 越 来 越 多 的 企业 
开始 在 全 国 ， 甚 至 全 球 建 立 分 支 机 构 ， 全 国 乃 至 全 球 的 合作 伙伴 也 日 益 增 多 ， 同 时 公司 
员工 对 移动 访问 公司 网 络 的 需求 也 不 断 增加 。 这 一 切 都 涉及 到 一 个 非常 现实 的 重要 问题 ， 
那 就 是 如 何 通 过 安全 、 便 捷 的 方式 把 这 些 分 支 机 构 的 内 部 网 络 进行 互联 ,实现 资源 共享 ; 
如 何 使 合作 伙伴 、 公 司 移动 办 公 员 工 可 以 方便 、 快 捷 地 访问 公司 内 部 网 络 。 这 就 是 VPN 
(Virtual Private Network， 虚 拟 专 用 网 ) 技术 诞生 的 最 初 背 景 需求 ， 但 最 初 解 决 这 类 需求 
的 方案 还 不 是 VPN， 这 将 在 1.1.1 节 具 体 介绍 。 

VPN 是 一 类 技术 的 统称 ， 随 着 技术 的 发 展 ， 产 生 了 多 种 可 以 实现 以 上 目的 的 VPN 
解决 方案 , 如 本 书后 续 各 章 所 介绍 的 IPSec VPN、GRE VPN、L2TP VPN、DSVPN 和 SSL 
VPN 等 。 但 这 些 VPN 解决 方案 都 有 两 个 共同 的 基本 特点 : (1) 主要 应 用 于 通过 公共 的 
Internet 进行 远程 网 络 连接 ， 满 足 了 远程 网 络 连接 的 便捷 性 ; (2) 不 是 直接 通过 公共 的 
Internet 来 传输 远程 网 络 互联 通信 中 的 数据 , 而 是 会 采取 各 种 安全 保密 技术 (或 称 “ 隧道 ” 
技术 )， 使 得 人 们 担心 的 安全 问题 也 随 之 得 到 解决 。 


1.1.1 VPN 的 起 源 


最 初 ， 为 了 解决 企业 网 络 远 程 连接 的 问题 ， 电 信和 运营 商 采 用 的 是 租赁 线路 〈Leased 
Line) 的 方式 为 客户 提供 远程 网 络 的 专线 连接 ， 但 这 并 不 是 我 们 现在 所 说 的 真正 意义 上 
的 VPN， 两 者 只 是 功能 类 似 。 

这 种 专线 方式 是 为 企业 用 户 提 供 物 理 的 二 层 链 路 ， 即 以 二 层 的 方式 为 企业 用 户 实 现 
远程 网 络 的 连接 。 这 种 专线 方式 有 其 明显 的 缺点 : 网 络 建设 时 间 长 、 价 格 昂 贯 ， 不 适宜 
太 远 距离 的 连接 ， 因 为 都 需要 专门 为 每 一 个 用 户 架 设 物 理 线路 ， 而 且 :条 物理 线路 只 头 
一 个 用 户 专用 ， 线 路 利用 率 低 。 对 用 户 来 说 ， 租 用 专线 的 费用 的 确 非 常 高 ， 不 仅 限 制 了 
用 户 的 使 用 ， 同 时 也 阻碍 了 远程 网 络 连 接 技术 的 应 用 和 发 展 。 这 不 符合 我 们 前 面 所 说 到 
的 VPN 所 具有 的 便捷 、 安 全 这 些 基 本 特性 。 


第 1 章 VPN 基础 3 


为 了 解决 租赁 专线 方案 的 建设 成 本 、 企 业 用 户 接 入 费用 昂贵 问题 ， 随 看 AIM 
(Asynchronous Transfer Mode， 异 步 传 输 模式 ) 和 FR (Frame Relay， 帧 中 继 ) 技术 的 兴 
起 ， 电 信 运 营 商 转 而 使 用 虚 电 路 方式 [参见 笔者 最 新 著作 《深入 理解 计算 机 网 络 〈 新 
版 )》]， 利 用 运营 商 现 有 的 ATM 网 络 ， 或 FR 网 络 为 客户 提供 点 到 点 的 二 层 网 络 的 远程 
连接 ， 客 户 再 在 其 上 建立 自己 的 三 层 网 络 以 承载 IP 等 数据 流 。 

在 虚 电 路 方式 下 可 以 在 一 条 物理 线路 中 构建 多 条 虚拟 通道 , 而 且 也 是 在 现 有 的 ATM 
或 FR 网 络 基础 上 建立 的 ， 所 以 这 种 解决 方案 与 以 前 的 租赁 专线 方案 相 比 ， 最 大 的 优势 
就 是 运营 商 网 络 建设 时 间 短 、 网 络 建设 成 本 也 得 到 了 大 大 降低 。 因 为 这 种 解决 方案 不 再 
需要 为 每 个 企业 用 户 专门 架设 物理 线路 ， 而 是 直接 在 原 物理 线路 基础 上 构建 一 条 虚拟 通 
道 即 可 。 但 这 种 传统 专 网 也 存在 以 下 诸多 不 足 : 

。 依赖 于 专用 的 传输 介质 : 为 提供 基于 ATM 的 VPN 服务 ， 运 营 商 需要 建立 畴 兰 全 
部 服务 范围 的 ATM 网 络 ， 为 提供 基于 FR 的 VPN 服务 ， 又 需要 建立 履 盖 全 部 服务 范围 
的 FR 网 络 ， 网 络 建设 成 本 高 ， 也 与 飞速 发 展 的 IP 网 络 背 景 不 协调 (ATM 网 络 和 FR 网 
络 正 慢 慢 被 淘汰 )。 

。 安全 性 较 差 : 在 虚 电 路 中 传输 的 数据 没有 足够 的 安全 技术 进行 加 密 保 护 ， 仍 存在 
较 大 的 安全 隐患 。 

。 速率 较 慢 : 利用 ATM 和 FR 技术 进行 远 距 离 网 络 连 接 时 的 连接 速率 通常 是 只 有 几 
十 Mbit/s， 不 能 满足 当前 Internet 应 用 在 速率 方面 的 要 求 。 

。 部 署 复杂 : 回 已 有 的 私有 网 络 加 入 新 的 站 点 时 ， 需 要 同时 修改 所 有 接 入 此 站 点 的 
边缘 节点 的 配置 ， 缺 乏 下 人 够 的 灵活 性 和 便捷 性 。 

由 此 可 见 ， 以 上 两 种 传统 专 网 都 难以 满足 企业 对 网 络 灵 活性 、 安 全 性 、 经 济 性 、 扩 - 
展 性 等 方面 的 要 求 。 这 就 促使 了 一 种 新 的 奉 代 方案 的 产生 ,， 即 在 现 有 IP 网 络 上 模拟 传统 
专 网 的 VPN 方案 。 


1.1.2 ”VPN 的 通俗 理解 


现在 所 说 的 VPN 是 指 依 靠 ISP (Internet Service Provider，Internet 服务 提供 商 ) 和 
NSP (Network Service Provider， 网 络 服务 提供 商 ) 在 公共 网 络 〈Internet 或 者 企业 公共 
网 络 ) 中 建立 的 虚拟 专用 通信 网 络 。 它 的 基本 原理 是 利用 隧道 技术 ， 把 要 传输 的 原始 协 
议 数据 包 文 封 状 在 隧道 协议 中 进行 透明 (与 底层 的 公共 网 络 无 天) 远程 传输 。 





隧道 技术 是 一 项 使 用 一 种 协议 封装 另外 一 种 协议 报 文 的 技术 ,而 封装 协议 本 身 也 
可 以 被 其 他 封装 协议 所 封装 或 承载 ， 即 一 个 协议 的 报 文 可 以 被 其 他 协议 多 次 封装 。 封 装 
其 他 协议 的 目的 就 是 为 了 协议 报 文 能 够 在 其 他 协议 对 应 的 链 路 上 识别 并 传输 。 常 用 的 隧 
道 协议 有 L2TP (Layer 2 Tunneling Protocol， 二 层 隧 道 协议 )、PPTP (Point-to-Point 
Tunneling Protocol， 点 对 点 隧道 协议 )、GRE (Generic Routing Encapsulation ， 通 用 路 由 
封装 )、IPSec (Internet Protocol Security ，Internet 协议 安全 ) 、MPLS (Multi-Protocol Label 
Switching， 多 协议 标签 交换 ) 等 。 本 章 后 续 将 具体 介绍 。 


如 果 通 俗 地 来 形容 VPN 的 话 ， 可 以 由 这 样 一 个 类 比 来 说 明 。 


4 华为 VPN 学 习 指南 


如 图 1-1 是 一 个 现实 的 普通 公路 交通 图 ,假设 各 个 进 /出 口 都 连接 了 一 个 城镇 (分 别 
用 A、B、C、D、E 来 代表 )。 从 图 中 可 以 看 出 各 城镇 的 进 /出 口 之 间 已 是 相互 连接 的 ， 
形成 一 个 小 型 的 公路 网 (以 此 类 比 VPN 所 要 利用 的 公共 网 络 一 一 Internet), 各 进 /出 口 之 
间 可 选择 通行 的 路 径 也 不 止 一 条 。 正 第 情况 下 ， 每 条 公路 上 行驶 的 车 辆 也 是 不 受 限 制 的 
通行 ， 也 束 是 各 城镇 之 间 的 人 们 可 以 目 由 遂行。 就 像 我 们 平时 访问 Internet 一 样 ， 只 要 
接 入 了 Intemet， 不 管 你 走 的 是 哪 条 通信 和 路径， 访问 一 些 公共 资源 基本 上 是 不 受 限制 的 。 





到 1-1 进行 VPN 类 似 的 交通 公路 网 


现 假设 要 对 A、B 进 / 出 口 所 连接 的 城镇 之 间 人 们 的 通行 进行 管制 ， 在 A、B 两 进 / 
出 口 之 间 通 过 增加 一 些 交 通 设 施 ， 把 这 条 有 原来 为 普通 的 公路 改 为 高 速 公 路 〈 假 设 为 了 蔬 
省 成 本 ， 不 新 建 高 速 公 路 。 中 间 也 可 以 还 经 过 其 他 进 /出 口 ， 就 相当 于 在 Internet 连接 中 
要 经 过 许多 三 层 设备 一 样 ), 使 得 这 两 个 城镇 之 间 人 们 的 通行 只 能 沿 着 图 中 所 画 的 那 条 路 
径 进 行 。 这 里 主要 是 出 于 通行 的 便捷 、 安 全 性 考虑 ， 防 止 其 他 无 关 车 辆 妨碍 这 两 个 城镇 
之 间 人 们 的 出 行 。 这 样 一 来 ，A、B 进 / 出 口 所 连接 的 城镇 之 间 的 出 行 就 只 能 走 这 条 受 保 
护 的 “高 速 公 路 ”了 ， 而 不 能 通过 其 他 路 径 ， 这 就 类 似 我 们 这 里 所 讲 的 VPN 了 。 

通过 以 上 类 比 ， 我 们 可 以 得 出 VPN 所 具有 的 几 方 面 特性 。 

。 在 没有 建立 专门 的 隧道 前 ，VPN 两 端的 设备 已 可 通过 公共 网 络 连 接 ， 即 VPN 两 
端的 网 关 设 备 必 须 已 成 功 接 入 到 公共 网 络 中 ， 就 像 前 面 类 比 中 A、B 两 进 /出 口 已 连接 到 
公路 网 中 一 样 。 这 也 是 我 们 在 后 续 各 章 介 绍 具 体 VPN 配置 示例 时 要 求 先 要 确保 两 端 网 关 
设备 必须 已 通过 公 网 路 由 互通 的 原因 。 

。 VPN 隧道 是 在 现 有 公共 网 络 (如 Internet) 的 通信 路 径 上 建立 的 ， 无 需 另 外 建 
立 专门 的 网 络 连 接 , 这 是 VPN 隧道 之 所 以 可 以 很 快捷 地 完成 建立 、 价 格 也 不 昂贵 的 根本 
原因 ， 从 而 区 别 于 专线 连接 。 

。 VPN 隧道 虽说 是 虚拟 的 (不 是 真实 的 隧道 )， 但 隧道 中 的 通信 路 径 不 是 虚拟 的 ， 
也 是 公共 网 络 中 真实 的 物理 通信 路 径 ， 必 须 依 靠 公 共 网 络 中 实际 的 路 由 路 径 进 行 一 级 级 
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的 数据 包 转 发 ， 而 不 是 真 的 可 以 从 隧道 一 端 直达 为 一 咽 的 。 
。 VPN 隧道 是 专用 的 ， 不 是 什么 数据 都 可 以 通过 隧道 进行 传输 的 。 虽然 多 路 VPN 

用 户 的 隧道 可 以 共享 同一 个 公共 网 络 , 但 对 每 一 路 VPN 用 户 来 说 , 使 用 的 都 是 专用 通道 ， 

如 图 1-2 所 示 ， 互 不 干扰 。VPN 与 底层 承载 的 公共 网 络 之 间 也 保持 资源 独立 ， 即 一 个 

VPN 通道 的 资源 不 会 被 网 络 中 非 该 VPN 的 用 户 所 使 用 。 

远程 访问 
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图 1-2 多 路 VPN 用户 共享 同一 个 公共 网 络 的 示意 


。 VPN 隧道 并 不 都 是 点 对 点 建立 的 ， 中 间 也 可 以 有 其 他 三 层 设备 ， 但 这 些 三 层 设 
备 对 VPN 隧道 中 传输 的 数据 是 作 透 明 传输 的 (NAT 设备 除外 ， 此 时 需要 开局 NAT 穿越 
功能 )， 因 为 路 径 中 间 的 普通 三 层 设备 只 负责 根据 IP 报头 的 地 址 信息 查找 路 由 表 进 行 转 
发 ,而 不 会 对 数据 包 进 行 处 理 ( 不 能 识别 隧道 协议 报头 内 容 ， 只 有 VPN 端点 的 网 关 设 备 
才 会 对 到 达 隧 道 端点 的 数据 进行 处 理 )。 

e 隧道 中 传输 的 数据 是 经 过 一 定安 全 保护 的 ， 因 为 在 一 些 VPN 方案 中 ， 隧 道 是 采 
用 身份 认证 、 加 密 保 护 措施 的 ， 所 以 传输 的 数据 也 往往 有 各 种 加 密 、 数 据 完 整 性 检查 等 
安全 措施 ， 如 IPSec VPN。 就 像 专 用 的 高 速 公 路 车 道 会 有 许多 不 同 于 普通 公路 的 一 些 交 
通 法 规 和 设施 一 样 。 


1.1.3 ”VPN 的 主要 优势 


通过 VPN 可 将 远程 用 户 、 公 司 分 文 机 构 、 合 作 伙 伴 与 公司 总 部 的 网 络 建 立 可 信 的 
安全 连接 ， 从 而 实现 数据 的 安全 传输 。 利 用 VPN 的 专用 和 虚拟 的 特征 ， 可 以 把 现 有 的 
IP 网 络 分 解 成 逻辑 上 隔离 的 网 络 。 这 种 逻辑 隔离 的 网 络 应 用 丰富 : 可 以 用 在 解决 企业 不 
同 部 门 或 分 文 机 构 间 的 互 连 ; 也 可 以 用 来 提供 新 的 业务 ,如 为 IP 电话 业务 专门 开辟 一 个 
VPN， 就 可 以 解决 IP 网 络 地 址 不 足 、QoS 保证 ， 以 及 开展 新 的 增值 服务 等 问题 。 

在 解决 企业 互 连 和 提供 各 种 新 业务 方面 ，VPN， 尤 其 是 MPLS VPN (将 在 《华为 
MPLS 学 习 指 南 》 一 书 中 具体 介绍 )， 越 来 越 被 运营 商 看 好 ， 成 为 运营 商 在 IP 网 络 提供 
增值 业务 的 重要 手段 。 


6 华为 VPN 学 习 指 南 


从 客户 角度 看 ，VPN 和 传统 的 数据 专 网 相 比 具有 以 下 优势 : 

。 安全 连接 : 通过 一 系列 的 安全 技术 ， 可 确保 在 远 端 用 户 、 驻 外 机 构 、 合 作 伙伴 、 
供应 商 与 公司 总 部 之 间 建 立 可 靠 、 安 全 的 网 络 连接 ， 保 证 数据 传输 的 安全 性 ， 比 直接 通 
过 公共 网 络 通信 安全 。 这 对 于 实现 电子 商务 或 金融 网 络 与 通讯 网 络 的 融合 特别 重要 。 

。 经 济 可 行 : 利用 广泛 使 用 、 廉 价 的 公共 网 络 进行 远程 网 络 互联 ， 企 业 可 以 用 更 低 
的 成 本 (许多 VPN 方案 分 支 机 构 或 远程 终端 可 以 采用 廉价 的 动态 IP 地 址 的 Internet 接 入 
方式 ) 连接 远程 办 事 机 构 、 出 差 人 员 和 业务 伙伴 网 络 ， 轻松 实现 原来 想 都 不 敢 想 的 意愿 。 

。 支持 移动 业务 : 文 持 驻 外 VPN 用 户 在 任何 时 间 和 地 点 通过 目前 已 非常 普及 的 各 
种 廉价 Internet 接 入 方式 连接 到 远程 的 公司 内 部 网 络 (当然 ,不同 VPN 方案 对 移动 接 入 
的 支持 程度 会 有 所 不 同 ， 如 GRE VPN 就 不 支持 )， 能 够 满足 不 断 增长 的 移动 业务 需求 。 

。 服务 质量 保证 : 构建 具有 服务 质量 保证 的 VPN (如 MPLS VPN), 可 为 VPN 用 户 
提供 不 同等 级 的 服务 质量 保证 。 

从 运营 商 角度 看 ，VPN 具有 以 下 优势 : 

。 提高 资源 利用 率 : 因为 VPN 是 利用 已 有 的 公共 网 络 来 建立 ， 所 以 这 样 可 以 提高 
运营 商 的 公共 网 络 资源 利用 率 ， 有 助 于 增加 ISP 的 收益 。 

。 方便 、 快 捷 : 这 种 无 需 专门 构建 专线 连接 的 VPN 方案 ， 通 过 软件 配置 就 可 以 方 
便 、 人 快捷 地 增加 、 删 除 VPN 用 户 ， 修 改 用 户 的 VPN 方案 配置 ， 无 需 改动 便 件 设施 。 在 
实际 的 VPN 方案 部 署 和 应 用 上 都 具有 很 大 的 灵活 性 。 

。 多 业务 支持 : 通过 为 用 户 部 署 VPN 方案 ， 服 务 提 供 商 (NSP) 在 为 用 户 提供 VPN 
互 连 的 基础 上 , 还 可 以 承揽 用 户 的 网 络 外 包 、 业 务 外 包 、 客 户 化 专业 服务 的 多 业务 经 营 ， 
进一步 增加 运营 商 的 营 收 。 

VPN 以 其 独 具 特 色 的 优势 赢得 了 越 来 越 多 企业 的 青睐 ,使 企业 可 以 较 少 地 关注 网 络 
的 运行 与 维护 ， 从 而 更 多 地 致力 于 企业 商业 目标 的 实现 。 男 外 ， 运 营 商 可 以 只 管理 和 运 
行 一 个 公共 网 络 ， 并 在 这 个 公共 网 络 上 同时 提供 多 种 服务 ， 如 Best-effort IP 服务、VPN、 
流量 工程 、 差 分 服务 (Diffserv)， 从 而 减少 运营 商 的 建设 、 维 护 和 运行 费用 。VPN 在 保 
证 网 络 的 安全 性 、 可 靠 性 、 可 管理 性 的 同时 ， 还 可 为 用 户 提 供 更 强 的 扩展 性 和 灵活 性 。 


1.2 VPN 方案 的 分 类 


随 着 网 络 技术 的 发 展 ，VPN 技术 得 到 了 广泛 的 应 用 ， 同 时 也 得 到 了 很 大 的 发 展 ， 基 
于 各 种 软 硬 件 平台 涌现 了 许多 不 同 的 VPN 解决 方案 。 按 照 不 同 的 角度 ，VPN 方案 可 以 
分 为 多 种 类 型 。 


1.2.1 按 VPN 的 应 用 平台 分 类 


根据 VPN 的 应 用 平台 可 分 为 :软件 平台 和 人 硬件 平台 两 类 。 

1. 软件 平台 VPN 

当 对 数据 连接 速率 要 求 不 高 ， 对 性 能 和 安全 性 要 求 不 强 时 ， 可 以 利用 一 些 软件 公司 
所 提供 的 完全 基于 软件 的 VPN 产品 来 实现 简单 的 VPN 的 功能 ， 如 OpenVPN、GreenVPN、 
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天 行 VPN 等 。 甚 至 可 以 不 需要 另外 购置 软件 ， 仅 依靠 Windows 和 Linux 服务 器 、 客 户 
端 操 作 系统 就 可 以 实现 纯 软 件 平 台 的 VPN 连接 。 

这 类 VPN 网 络 一 般 性 能 较 差 ， 数 据 传输 速率 较 低 ， 同 时 在 安全 性 方面 也 比较 低 ， 
一 般 仅 适 用 于 连接 用 户 较 少 的 小 型 企业 和 个 人 用 户 。 

2. 硬件 平台 VPN 

使 用 硬件 平台 的 VPN 功能 可 以 满足 企业 和 个 人 用 户 对 高 数据 安全 及 通信 性 能 的 需 
求 。 在 硬件 平台 VPN 中 , 有 专门 的 VPN 设备 , 如 网 康 VPN、 深 信服 VPN 及 品牌 的 VPN 
网 关 设 备 ， 但 更 多 是 集成 在 交换 机 、 路 由 器 或 防火 墙 设备 中 的 ， 如 华为 、 思 科 和 华 三 等 
三 层 交 换 机 (交换 机 仅 支 持 少 数 VPN 方案 )、 路 由 器 和 防火 墙 中 就 自 带 有 一 些 VPN 功能 。 
本 书 专门 介绍 华为 交换 机 、 路 由 器 中 的 VPN 解决 方案 。 

其 实 ， 硬 件 平台 VPN 也 并 不 是 仅 需 要 硬件 设备 ， 对 于 一 些 移动 接 入 用 户 也 还 是 需 
要 借助 一 些 软件 系统 来 实现 的 。 通 常 是 需要 在 用 户主 机 上 安装 VPN 客户 问 软 件 ， 如 
HUAWEIVPN Client 等 。 


1.2.2” 按 组 网 模型 分 


在 华为 设备 所 支持 的 VPN 解决 方案 中 ， 按 组 网 模型 也 即 组 网 方式 分 ， 目 前 主要 有 
VPDN (Virtual Private Dial Network， 虚 拟 专 用 拨号 网 络 )、VPRN (Virtual Private Routing 
Network, 虚拟 专用 路 由 网 络 )、VLL (Virtual Leased Line, 虚拟 租用 线路 ) 和 VPLS(Virtual 
Private LAN Service， 虚 拟 专用 局 域 网 业务 ) 等 儿 种 VPN 解决 方案 。 

1、VPDN 方 案 

随 着 企业 的 发 展 和 业务 的 不 断 拓展 ， 在 不 同 地 域 成 立 的 分 文 机 构 和 出 差 的 员工 往往 
也 需要 和 公司 总 部 网 络 建立 快速 、 安 全 和 可 靠 的 网 络 连 接 ， 以 实现 资源 共享 。 传 统 的 拨 
号 网 络 需 要 租用 ISP 的 电话 线路 ， 申 请 公共 的 号 码 或 卫 地 址 ， 不 仅 产 生 高 额 的 费用 ， 而 
且 无 法 为 远程 用 户 尤 其 是 出 差 员 工 提 供 便利 的 接 入 服务 。 为 了 更 好 的 利用 拨号 网 络 ， 方 
便 远 程 用 户 的 接 入 ,产生 了 基于 拨号 网 络 的 VPN， 即 VPDN。 通 过 VPDN 技术 ,远程 用 
户 和 企业 总 部 网 关 之 间 建立 了 一 条 问 到 新 虚拟 链 路 。 

在 VPDN 类 型 中 ， 又 根据 所 采用 的 隧道 技术 的 不 同 而 分 为 以 下 几 种 VPN 方案 。 

(1) PPTP 〈Point-to-Point Tunneling Protocol， 点 对 点 隧道 协议 ) VPN 

PPTP 协议 是 在 PPP 协议 的 基础 上 开发 的 一 种 新 的 增强 型 安全 协议 ， 文 持 多 协议 
VPN， 可 以 通过 密码 验证 协议 〈PAP)、 可 扩展 认证 协议 〈EAP) 等 方法 增强 安全 性 。 可 
以 使 远程 用 户 通过 拨 入 ISP、 直 接连 接 Internet 或 其 他 网 络 安全 地 访问 企业 网 。 主 要 应 用 
于 直接 通过 各 种 Windows、Linux 操作 系统 构建 VPN 网 络 的 应 用 场景 。 

这 种 PPTP VPN 有 以 下 不 足 : 只 文 持 IP 网 络 〈 不 支持 ATM、FR、X.25 网 络 )， 只 
能 在 两 闹 之 间 构 建 一 条 VPN 隧道 、 不 支持 隧道 验证 ， 报 文 封装 时 的 额外 开销 大 等 ,目前 
比较 少 用 ， 华 为 设备 也 不 文 持 。 

(2) L2F (Layer 2 Forwarding， 二 层 转发 ) VPN 

L2F 协议 最 初 是 由 Cisco 开发 并 专用 ， 于 1998 年 提交 给 [ETF， 成 为 RFC2341， 是 
基于 PPP 或 SLIP (Serial Line Internet Protocol， 串 行 线路 网 际 协议 ) 协议 的 一 种 扩展 应 
用 ,可 以 基于 PPP 或 SLIP 拨号 网 络 在 公共 的 IP、ATM、FR 等 网 络 基 础 上 构建 一 条 虚拟 
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隧道 ， 但 这 种 协议 不 支持 数据 加 密 标 准 ， 所 以 这 个 协议 已 经 很 少 用 了 。 

(3) L2TP 〈Layer 2 Tunneling Protocol， 二 层 了 隧道 协议 ) VPN 

L2TP 协议 可 以 说 是 L2F 协议 的 改进 版 , 同时 也 结合 了 PPTP 协议 的 一 些 优点 , 所 以 
它 也 是 PPP 协议 的 一 种 扩展 应 用 。 它 不 仅 文 持 多 种 公共 网 络 协议 (如 IP、ATM、FR 等 )， 
还 文 持 隧道 验证 功能 , 文 持 在 两 个 端点 间 构 建 多 条 VPN 隧道 , 是 目前 应 用 最 广泛 的 一 种 
二 层 降 道 协议 。 但 它 的 安全 保护 措施 仍然 不 是 很 好 ， 与 PPTP、L2F 协议 一 样 ， 既 不 支持 
对 隧道 中 传输 的 数据 进行 加 密 保护 ,也 不 能 对 所 接收 的 数据 进行 完全 性 验 性 和 身份 检查 。 
所 以 如 果 想 要 部 和 车 更 安全 的 L2TP VPN, 通常 还 是 要 与 IPSec 结构 , 构建 L2TP over IPSec 
VPN， 有 具体 将 在 本 书后 续 章 节 介 绍 。 

VPDN 利用 公共 网 络 的 拨号 功能 及 接 入 网 ， 为 企业 、 小 型 ISP 和 移动 办 公 人 员 提 供 
拨号 VPN 远程 接 入 服务 。VPDN 方案 中 ， 用 户 可 以 使 用 私有 IP 地 址 ， 接 入 技术 也 可 使 
用 广泛 使 用 的 PSTN (Public Switched Telephone Network， 公 共 交 换 电话 网 络 )、ISDN 
(Integrated Services Digital Network， 综 合 业务 数字 网 )、xDSL， 甚 至 像 L2TP 还 支持 光 
纤 以 太 网 接 入 方式 , 使 得 用 户 在 进行 VPN 方案 建设 时 投资 少 、 周 期 短 , 网 络 运 行 费用 低 。 

VPDN 还 具有 灵活 的 身份 认证 机 制 和 网 络 计 费 方式 (利用 AAA 功能 )， 以 及 较 高 的 
安全 性 ， 并 支持 动态 卫 地 址 分 配 。 此 外 ，VPDN 虽然 采用 的 是 二 层 隧道 协议 , 但 像 L2F、 
L2TP 一 样 都 能 文 持 多 种 三 层 网 络 协议 。 

2. VPRN 方案 

VPRN 是 总 部 、 分 文 机 构 和 远 端 办 公 室 内 部 网 络 之 间 通 过 公共 网 络 管理 虚拟 设备 互 
连 ， 属 于 站 点 到 站 点 〈Site-to-Site) 的 远程 网 络 连 接 。VPRN 数据 包 的 转发 是 在 网 络 层 实 
现 的 ， 公 共 网 络 的 每 个 VPN 市 点 需要 为 每 个 VPN 建立 专用 路 由 转发 表 ， 包 含 网 络 层 可 
达 性 信息 。 数 据 流 在 公共 网 络 的 VPN 节点 之 间 的 转发 以 及 VPN 节点 和 用 户 站 点 之 间 的 
转发 都 是 基于 这 些 专用 路 由 转发 表 。 

根据 所 使 用 的 隧道 协议 的 不 同 ，VPRN 方案 包括 多 种 VPN 类 型 ， 例 如 GRE VPN、 
IPSec VPN、DSVPN (Dynamic Smart VPN, 动态 智能 VPN)、SSL (Secure Sockets Layer， 
安全 套 接 字 层 ) VPN、MPLS L3VPN (三 层 VPN) 等 。 

在 本 书后 续 章 节 将 对 GRE VPN、IPSec VPN、DSVPN 和 SSL VPN 进行 具体 介绍 ， 
MPLS L3VPN 将 在 《华为 MPLS 学 习 指 南 》 中 介绍 。 

3; VEL 方案 

传统 的 二 层 隧道 是 通过 二 层 的 交换 技术 来 实现 的 ， 比 如 X.25、FR、ATM 网 络 ， 通 
过 对 应 二 层 设 备 来 完成 用 户 节 点 间 二 层 隧 道 的 建立 。 由 于 使 用 了 不 同 的 二 层 协 议 ， 因 此 
不 同 种 二 层 网 络 是 隔离 的 。MPLS 标签 技术 的 产生 ， 为 建立 统一 兼容 的 二 层 交 换 网 络 提 
供 了 可 能 。 可 以 把 MPLS 理解 成 为 一 个 特殊 的 二 层 协 议 ， 也 就 是 说 在 原 有 的 各 种 二 层 封 
闭 基 础 上 再 进行 MPLS 封装 。 

VLL 技术 就 是 一 种 建立 在 MPLS 技术 上 的 二 层 隧道 技术 , 是 对 传统 租用 专线 业务 的 
仿真 ， 使 用 卫 网 络 模拟 租用 线 ， 提 供 非 对 称 、 低 成 本 的 DDN (Digital Data Network， 数 
字数 据 网 络 ) 业务 。 从 虚拟 租用 线 两 端的 用 户 来 看 ， 该 虚拟 租用 线 近 似 于 传统 的 租用 线 ， 
能 够 支持 几乎 所 有 的 链 路 层 协 议 ， 解 决 了 不 同 网络 介 质 不 能 相互 通信 的 问题 ， 主 要 是 在 
接 入 层 和 汇聚 层 使 用 。 但 它 不 能 直接 在 服务 商 处 进行 多 点 间 的 业务 交换 。 


第 1 章 VPN 基础 9 


4. VPLS 方案 

VPLS 是 公共 网 络 中 提供 的 一 种 点 到 多 点 的 L2VPN (二 层 YPN) 业务 ， 使 地 域 上 陋 
离 的 用 户 站 点 能 通过 LAN/WAN 相连 ， 并 且 使 各 个 站 点 间 的 连接 效果 像 在 一 个 LAN 中 
A 

VPLS 也 是 一 种 基于 以 太 网 和 MPLS 标签 交换 的 二 层 VPN 技术 , 结合 了 以 太 网 技术 
和 MPLS 技术 的 优势 ， 是 对 传统 LAN 全 部 功能 的 仿真 ， 可 以 实现 多 点 通信 。 





“VLL 和 VPLS 这 两 种 二 层 VPN 方案 因为 涉及 MPLS 技术 ， 所 以 本 书 不 作 具 体 介 
绍 ， 将 在 《华为 MPLS 学 习 指 南 》 一 书 中 介绍 。 


1.2.3 ” 按 业 务 用 途 分 


根据 VPN 应 用 的 业务 类 型 来 分 ，VPN 方案 可 分 为 : Intranet VPN、Access VPN 与 
Extranet VPN 三 类 ,但 更 多 情况 下 是 需要 同时 用 到 这 三 种 YPN 网 络 类 型 , 特别 是 对 于 大 
型 企业 ， 因 为 在 这 类 用 户 中 不 仅 有 站 点 到 站 点 的 网 络 互联 需求 ， 也 有 移动 用 户 的 端 到 并 
(End-to-End) 或 者 疹 到 站 点 〈End-to-Site) 的 接 入 需求 。 

(1) AccessVPN〈 远 程 访问 虚拟 专 网 ) 

Access VPN〔 远 程 访问 虚拟 专 网 ) 又 称 为 拨号 VPN 〈 即 前 面 介 绍 的 VPDN)， 是 指 
企业 员工 或 企业 的 小 分 支 机 构 通过 公共 网 络 远程 拨号 的 方式 构建 的 虚拟 专用 网 。 如 果 企 
业 的 内 部 人 员 有 移动 办 公 需 要 ， 或 者 商家 要 提供 B2C 《企业 到 客户 ) 的 安全 访问 服务 ， 
就 可 以 考虑 使 用 Access VPN。 

Access VPN 能 使 用 户 随时 随地 以 按 需 方式 访问 企业 资源 ， 可 充分 节省 接 入 费用 。 
Access VPN 包括 能 随时 使 用 传统 电话 网 络 Modem 拨号 、ISDN 拨号 、 数 字 用 户 线路 
(xDSL) 拨号 、 无 线 接 入 和 有 线 电 视 电 绩 等 拨号 技术 ， 安 全 地 连接 移动 用 户 、 远 程 工作 
者 或 分 文 机 构 。Access VPN 具有 灵活 的 喘 份 认证 机 制 和 网 络 计 费 方式 ， 以 及 高 度 的 安全 
性 ， 并 文 持 动态 地 址 分 配 。 

Access VPN 是 一 类 二 层 VPN 技术 ， 包 括 前 面 提 到 的 PPTPVPN、L2F VPN 和 L2TP 
VPN 这 几 种 ， 可 以 实现 点 对 点 《如 两 主机 的 远程 互联 )、 端 到 站 点 〈 如 移动 办 公主 机 与 
公司 网 络 互 联 )， 其 至 站 点 到 站 点 (分 文 机 构 与 公司 总 部 网 络 的 互联 〉 的 远程 连接 。 其 典 
型 网 络 结构 ， 如 图 1-3 所 示 。 








小 型 分 支 机 构 
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公司 总 部 网 络 
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图 1-3 ”Access VPN 典型 网 络 结构 
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Access VPN 方式 对 于 需要 移动 办 公 的 企业 来 说 不 失 为 一 种 经 济 安全 、 灵活 自由 的 好 
方式 ， 所 以 这 种 方式 通常 也 被 许多 中 小 型 企业 常用 。 但 这 种 VPN 模式 的 连接 性 能 较 低 ， 
不 适用 于 大 量 用 户 或 者 高 负载 应 用 。 

(2) Intranet VPN 〈 企 业内 部 虚拟 专 网 ) 

Intranet VPN (企业 内 部 虚拟 专 网 ) 通过 公共 网 络 进行 企业 集团 内 部 多 个 分 支 机 构 与 
公司 总 部 网 络 的 互联 ， 是 传统 专 网 或 其 他 企业 网 的 扩展 或 替代 形式 。 随 着 企业 的 跨 地 区 
工作 ， 国 际 化 经 营 ， 这 是 绝 大 多 数 大 中 型 企业 所 必需 的 ， 如 要 进行 企业 内 部 各 分 支 机 构 
的 互联 ， 那 么 使 用 Intranet VPN 是 很 好 的 方式 。 

Intranet VPN 是 通过 公用 Internet 或 者 第 三 方 专用 网 络 进行 连接 的 ,有 条 件 的 企业 可 
以 采用 光纤 作为 传输 介质 ， 所 实现 的 基本 上 都 是 站 点 到 站 点 的 网 络 互 联 。 可 以 实现 的 
Intranet VPN 的 方案 比较 多 ， 如 L2TP VPN 可 以 ，GRE VPN、IPSec VPN、SSL VPN 和 
DSVPN 也 可 以 。 它 的 主要 特点 就 是 容易 建立 连接 、 连 接 速 度 快 ， 并 可 为 各 分 支 机 构 提 
供 了 相应 的 网 络 访 问 权 限 。 如 图 1-4 是 Intranet VPN 的 典型 网 络 结构 。 





小 型 办 公 室 或 SOHO 用 户 
1-4 ”Intranet VPN 典型 网 络 结构 


越 来 越 多 的 企业 需要 在 全 国力 至 世界 范围 内 建立 各 种 办 事 机 构 、 分 公司 \ 研究 所 等 ， 
各 个 分 公司 之 间 传 统 的 网 络 连 接 方式 一 般 是 租用 专线 。 在 分 公司 增多 、 业 务 开展 越 来 越 
广泛 时 ， 网 络 结构 趋 于 复杂 ， 费 用 昂贵 ， 而 利用 Intranet VPN 特性 可 以 经 济 地 在 Internet 
上 组 建 世 界 范 围 内 的 IntranetVPN。 使 用 Intranet YPN， 企 事业 机 构 的 总 部 、 分 支 机 构 、 
办 事 处 或 移动 办 公 人 员 可 以 通过 公共 网 络 组 成 企业 内 部 网 络 ， 也 可 用 来 构建 银行 、 政 府 
等 机 构 的 Intranet。 典 型 的 Intranet VPN 例子 就 是 连锁 超市 、 仓 储 物流 公司 、 加 油 站 等 具 
有 连锁 性 质 的 机 构 。 

(3) Extranet VPN 

Extranet VPN 即 企 业 间 发 生 收 购 、 兼 并 或 企业 间 建 立 战 略 联盟 后 ， 使 不 同 企业 网 络 
通过 公共 网 络 来 构建 的 虚拟 网 。Extranet VPN 的 基本 网 络 结构 与 Intranet VPN 一 样 ， 当 
然 所 连接 的 对 象 也 会 有 所 不 一 样 ， 其 典型 结构 如 图 1-5 所 示 。 

如 果 是 需要 提供 B2B (企业 到 企业 ) 电子 商务 之 间 的 安全 访问 服务 ， 则 可 以 考虑 选 
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用 Extranet VPN。Extranet 利用 VPN 将 企业 网 延伸 至 供应 商 、 合 作 伙 伴 与 客户 处 ， 在 具有 
共同 利益 的 不 同 企业 间 通 过 公共 网 络 构建 VPN， 使 部 分 资源 能 够 在 不 同 VPN 用 户 间 共 享 。 





合作 伙伴 


小 型 办 公 室 客户 
图 1-5 Extranet VPN 典型 网 络 结构 


Extranet 类 型 VPN 也 可 使 用 那些 支持 站 点 到 站 点 网 络 连接 的 VPN 解决 方案 (如 前 
面 提 到 的 L2TP VPN、GRE VPN、IPSecVPN、SSLVPN 和 DSVPN 等 )， 只 是 在 VPN 用 
户 对 网 络 资源 的 访问 权限 配置 上 有 所 区 别 而 已 。 访 问 权 限 的 限制 主 是 网 络 内 部 服务 器 上 
进行 配置 的 ， 在 SSL VPN 方案 中 还 可 在 SSL VPN 虚拟 网 关上 进行 配置 ， 具 体 将 在 本 书 
第 9 章 介绍 。 


1.2.4 ” 按 实 现 层次 分 


按 VPN 隧道 连接 实现 所 对 应 的 计算 机 网 络 体系 结构 层次 ， 可 把 VPN 方案 分 为 
L2VPN、L3VPN 和 VPDN 这 三 种 。 

1. L2VPN 

在 华为 设备 所 文 持 的 L2VPN 方案 比较 多 ， 包 括 前 面 所 提 到 的 VLL、VPLS 和 PW3 
(Pseudo-Wire Emulation Edge to Edge， 端 到 端 伪 线 仿真 )， 都 属于 MPLS L2VPN 类 型 ， 
以 上 这 些 会 在 《华为 MPLS 学 习 指 南 》 一 书 中 介绍 。VLL 适合 较 大 的 企业 通过 WAN 互 
连 ， 而 VPLS 适合 小 企业 通过 城 域 网 互 连 。 

PWE3 是 一 种 端 到 端的 MPLS L2VPN 技术 ， 在 PSN (Packet Switched Network， 分 
组 交换 网 络 ) 中 尽 可 能 真实 地 模仿 ATM、FR、 以 太 网 、 低 速 TDM (Time Division 
Multiplexing， 时 分 复 用 ) 电路 和 SONET 〈Synchronous Optical Network， 同 步 光 网 络 ) 
/SDH 〈Synchronous Digital Hierarchy， 同 步 数 字体 系 ) 等 业务 的 基本 行为 和 特征 ， 可 实 
现 远程 网 络 的 互联 。 

2. L3VPN 

L3VPN 也 就 是 前 面 介绍 的 VPRN， 是 在 计算 机 网 络 体 系 结构 中 第 三 层 (网络 层 ) 实 
现 的 。 在 华为 设备 所 文 持 的 VPN 方案 中 又 包括 多 种 类 型 ， 例 如 MPLS L3VPN、IPSec 
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VPN、SSL VPN、GRE VPN、DSVPN 等 。 其 中 MPLS L3VPN 主要 应 用 在 上 骨干 网 转发 层 ， 
IPSec VPN、SSL VPN、GRE VPN、DSVPN 在 接 入 层 被 普遍 采用 。 
L2VPN 与 L3VPN 的 对 比如 表 1-1 所 示 。 






表 1-1 L2VPN 与 L3VPN 的 对 比 
安全 性 襄 低 
对 三 层 协议 的 支持 情况 有 限制 
用 户 网 络 对 骨干 网 的 影响 大 
对 传统 WAN 的 兼容 性 小 
路 由 管理 用 户 路 由 交 由 服务 提供 商 SP 管理 
组 网 应 用 主要 用 在 核心 层 
3. VPDN 


VPDN 也 就 是 前 面 提 到 的 Access VPN， 包括 PPTPVPN、L2F VPN 和 L2TP VPN 这 
些 VPN 方案 。 严 格 来 说 ，VPDN 也 属于 L2VPN， 但 其 网 络 构成 和 协议 设计 与 前 面 提 到 
的 像 VLL、VPLS 之 类 的 MPLS L2VPN 有 很 大 不 同 。 有 关 VPDN， 本 书 仅 介绍 应 用 最 广 
泛 ， 华 为 设备 支持 的 L2TP VPN， 具 体内 容 将 在 本 书 第 $ 章 介 绍 。 


1.2.5“” 按 运营 模式 分 


如 果 按 运营 模式 来 分 ,上 面 介绍 的 这 些 VPN 方案 又 可 分 为 : 由 用 户 控 制 的 CPE-based 
VPN 和 由 ISP 控制 的 Network-based VPN 两 类 。 

1. 由 用 户 控 制 的 CPE-based VPN 

在 CPE-based VPN 模式 下 ， 由 用 户 控制 VPN 的 构建 、 管 理 和 维护 ， 依 靠 用 户 侧 的 
网 络 设备 发 起 VPN 连接 ， 不 需要 运营 商 提 供 特 殊 的 文 持 就 可 以 实现 VPN。 用 户 设备 需 
要 安装 相关 的 VPN 隧道 协议 ， 如 IPSecVPN、GRE VPN、L2TP VPN、SSL VPN 和 DSVPN 
等 ， 都 是 基于 客户 端 实施 的 VPN 方案 。 本 书后 续 各 章 所 介绍 的 各 种 VPN 方案 均 属 于 此 类 。 

传统 的 利用 公共 IP 网 络 构建 的 VPN (如 IPSecVPN、GRE VPN 等 ) 均 属 于 CPE-based 
VPN。 其 实质 是 在 各 个 私有 设备 之 间 建 立 VPN 安全 隧道 来 传输 用 户 的 私有 数据 。Internet 
是 典型 的 公共 IP 网 络 。 使 用 Internet 构建 的 VPN 是 最 为 经 济 的 方式 , 但 服务 质量 难以 保 
证 。 企 业 在 规划 IP VPN 建设 时 应 根据 上 自身 的 需求 对 各 种 公用 IP 网 络 进行 权衡 。 

CPE-based VPN 方式 复杂 度 高 、 业 务 扩展 能 力 弱 ， 主 要 应 用 于 接 入 层 。 

2. 由 ISP 控制 的 Network-based VPN 

在 Network-based VPN 模式 下 ，VPN 的 构建 、 管 理 和 维护 由 ISP 控制 ， 人 允许 用 户 在 
一 定 程 度 上 进行 业务 管理 和 控制 , 是 基于 运营 商 实 施 的 VPN 方案 。 在 此 模式 的 VPN 中 ， 
功能 特性 集中 在 运营 商 网 络 侧 设备 处 实现 ， 用 户 网 络 设 备 只 需要 支持 网 络 互 联 ， 无 需 特 
殊 的 VPN 功能 ， 如 各 种 基于 MPLS 的 VPN 都 属于 Network-based VPN。 

Network-based VPN 方式 可 以 降低 用 户 投资 、 增 加 业务 灵活 性 和 扩展 性 ， 也 为 运营 
商 带 来 新 的 收益 。MPLS VPN 由 于 在 灵活 性 、 扩 展 性 和 QoS 方面 的 优势 ， 逐 渐 成 为 最 主 
要 的 IP-VPN 技术 ， 在 电信 和 运营 网 和 企业 网 中 都 获得 了 广泛 的 应 用 。 

MPLS VPN 主要 运用 于 骨干 核心 网 及 汇聚 层 ， 是 对 大 客户 互 连 及 3G、NGN 等 业务 
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系统 进行 隔离 的 重要 技术 。MPLS VPN 对 于 城 域 网 同样 重要 : 城 域 网 内 部 普 MPLS VPN 
技术 ， 成 为 提升 IP 城 域 网 的 价值 、 为 运营 商 提 供 更 高 收益 的 重要 技术 。 
CPE-based VPN 与 Network-based VPN 的 对 比如 表 1-2 所 示 。 





表 1 2 CPE- based VPN 与 Network- based VPN se 对 比 
比较 项目 _ CPE-basedVPN | NetworkbasedVPN 
业务 扩展 能 业务 扩展 能 力 强 
用 户 投资 少 
用 户 设备 支持 隧道 情况 无 需 支 持 
性 能 要 求 功能 特性 集中 于 CE 设备 ， 功能 特性 集 中 于 PE 设备 ， 
对 CE 设备 要 求 高 对 PE 设备 要 求 高 


将 CPE-based VPN 和 Network-based VPN 泥 合 部 署 可 以 给 用 户 提 供 更 可 靠 、 更 安全 、 
更 丰富 的 VPN 业务 ， 也 可 以 为 各 类 VPN 用 户 提 供 更 加 灵活 、 经 济 的 接 入 方式 。 


1.3 VPN 隧道 技术 


目前 VPN 主要 采用 以 下 四 项 技术 来 保证 通信 安全 : 隧道 技术 (Tunneling)、 加 /解密 
技术 (Encryption & Decryption)、 密 钥 管 理 技术 (Key Management)、 使 用 者 与 设备 身份 
认证 技术 (Authentication)。 本 节 首 先 具体 介绍 一 些 常见 的 隧道 技术 。 


1.3.1 VPN 隧道 技术 综述 
“隧道 ”可 以 看 成 是 从 源 端 到 目的 端 (统称 “ 隧 道 端 点 ”) 通过 公共 网 络 的 线路 上 专 


门 建立 的 一 条 虚拟 、 专 用 通道 ， 但 通道 所 采用 的 线路 仍 是 公共 网 络 中 实际 的 线路 。 如 
图 1-6 所 示 的 是 在 Internet 上 构建 VPN 隧道 的 示意 图 。 


隧道 


SF 这 


Internet 





分 支 机 构 





人 


图 1-6 ”VPN 隧道 示意 
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不 同 VPN 方案 的 VPN 隧道 起 始 、 终 结 端点 有 所 不 同 ， 有 的 隧道 端点 就 是 两 端的 
用 户主 机 ,而 有 些 隧道 端点 是 两 端 网 络 的 交换 机 、 路 由 器 、 防 火 墙 或 应 用 层 网 关 等 设备 。 


VPN 隧道 是 在 公共 网 络 的 物理 通信 线路 上 建立 的 , 所 以 它 的 构建 需要 相应 的 技术 来 
建立 。 当 然 ， 不 同 的 VPN 方案 所 采用 的 隧道 技术 不 一 样 。 

目前 主要 有 两 类 隧道 协议 : 一 种 是 二 层 隧道 协议 ， 主 要 应 用 于 构建 远程 访问 虚拟 专 
网 (Access VPN, 也 即 前 面 介绍 的 VPDN), 如 PPTP VPN 中 采用 的 PPTP 协议 , L2TP VPN 
中 采用 的 L2TP 协议 都 属于 二 层 隧道 技术 。 本 章 前 面 介 绍 的 VLL、VPLS、PW3 使 用 的 
二 层 隧道 技术 一 MPLS L2VPN。 

男 一 种 是 三 层 隧道 协议 ， 主 要 应 用 于 构建 企业 内 部 虚拟 专 网 ( 即 Intranet VPN) 和 
扩展 的 企业 内 部 虚拟 专 网 ( 即 Extranet YPN)， 如 IPSec VPN 中 采用 的 IPSec 协议 ，GRE 
VPN 中 采用 的 GRE 协议 ，DSVPN 中 采用 的 mGRE (multipoint Generic Routing 
Encapsulation， 多 点 通用 路 由 封 逆 ) 协议 ， 以 及 MPLS L3VPN 中 采用 的 MPLS L3VPN 
协议 。 这 些 降 道 技术 具体 将 在 本 节 后 续 章 节 进 行 介 绍 。 

以 上 这 些 隧 道 技术 都 可 看 成 各 种 通过 使 用 Internet 的 基础 设施 在 网 络 之 间 私 密 传 递 
数据 的 方式 。 使 用 隧道 传递 的 数据 (或 负载 ) 可 以 是 与 物理 线路 上 运行 的 不 同 协议 的 数 
据 帧 或 数据 包 (如 通过 VPN 隧道 可 以 在 卫 网络 中 传输 ATM、FR 数据 帧 , 或 IPX、Apple 
Talk 数据 包 ), 隧道 协议 将 这 些 其 他 协议 的 数据 帆 或 数据 包 通 过 加 装 隧道 协议 头 重新 封装 
后 发 送 。 

隧道 协议 的 头 部 提供 了 路 由 信息 ， 从 而 使 封装 的 负载 数据 能 够 通过 IP 网络 传递 。 隧 
道 协 议 头 与 其 原始 协议 数据 包 一 起 传输 ， 在 到 达 目 的 地 后 原始 协议 数据 包 就 会 与 隧道 协 
议 头 分 离 ， 对 目的 地 有 用 的 原始 协议 数据 包 就 继续 传输 到 目的 地 址 ， 而 仅 起 到 了 一 个 标 
识 信息 的 隧道 协议 头 将 被 丢弃 ， 这 样 它 也 就 完成 了 它 整 个 数据 包 传 送 使 命 。 


1.3.2 PPTP 协议 


PPTP 最 初 是 由 包括 微软 和 当时 的 3Com 等 公司 组 成 的 PPTP 论坛 开发 的 一 种 点 对 点 
二 层 隧道 协 , 用 于 Windows 系统 构建 PPTP VPN 隧道 ,后 来 IETF 以 RFC 2637 正式 发 布 ， 
成 为 国际 上 通用 的 一 种 协议 标准 ， 可 以 构建 问 到 端 ， 或 者 站 点 到 站 点 的 VPN 远程 连接 ， 
如 图 1-7 所 示 。 

PPTP 定义 的 呼叫 控制 和 管理 协议 , 允许 服务 器 能 够 控制 来 自 PSTN 或 ISDN 电路 交 
换 拨号 的 拨 入 访问 ， 或 者 发 起 带 外 的 电路 交换 连接 。PPTP 协议 是 将 PPP 数据 帧 通过 使 
用 增强 的 GRE 机 制 封 装 进 IP 数据 包 中 ,通过 IP 网 络 ( 如 Internet 或 其 他 企业 专用 Intranet 
等 ) 发 送 。 

PPTP 协议 允许 PPP 协议 将 原 有 的 NAS (Network Access Server， 网 络 访问 服务 器 ) 
功能 独立 出 来 ， 采 用 CS“〈 客 户 端 /服务 器 ) 架构 。PPTP 服务 器 即 PNS (PPTP Network 
Server，PPTP 网 络 服务 器 )，PPTP 客户 端 即 PAC (PPTP Access Concentrator， 接 入 集 
中 器 )。 

目前 除了 Windows 系统 主机 可 以 发 起 PPTP VPN 通信 外 ， 有 些 品 版 硬件 设备 ， 如 
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TP-Link 的 一 些 路 由 器 产品 也 可 以 发 起 PPTP VPN 通信 ， 故 PAC 可 以 是 一 台 用 户主 机 ， 
也 可 以 是 路 由 器 ， 但 华为 交换 机 和 路 由 器 不 支持 发 起 PPTP VPN 通信 ， 故 本 书 不 介绍 
PPTP VPN 的 详细 技术 。 但 基本 上 所 有 品牌 设备 均 支 持 PPTP 数据 包 的 透明 传输 功能 。 





图 1-7 PPTP 协议 构建 的 两 种 隧道 


PPTP 协议 通信 和 需要 建立 两 个 PPTP 和 连接。 一 是 通过 TCP 协议 进行 的 ， 在 每 个 
PAC-PNS 对 之 间 建 立 的 控制 连接 , 控制 连接 用 来 管理 协商 通信 过 程 中 的 参数 和 进行 数据 
连接 的 维护 ， 二 是 在 同一 个 PAC-PNS 对 之 间 建 立 的 隧道 连接 (也 称 “ 数 据 连 接 ”)， 用 
于 在 PAC-PNS 对 之 间 的 用 户 会 话 传 输 由 GRE 封装 的 PPP 数据 帧 。 

1. 控制 连接 简 公 

在 PAC 和 PNS 间 建 立 PPTP 隧道 之 前 , 必须 先 在 它们 之 间 建 立 好 控制 连接 。 控制 连 
接 是 一 个 标准 的 TCP 会 话 , 用 于 PPTP 呼叫 控制 和 管理 信息 通过 。 控制 连接 会 话 与 PPTP 
隧道 建立 会 话 既 天 联 ， 义 相互 独立 。 控 制 连接 负责 建立 、 管 理 和 释放 通过 隧道 进行 的 会 
话 ， 是 癌 PNS 通知 关联 的 PAC 拨 入 呼叫 ， 也 用 于 指导 PAC 癌 外 进行 呼叫 。 

控制 连接 的 建立 可 以 由 PNS 或 者 PAC 发 起 ，PNS 端 所 使 用 的 端口 是 TCP 1723。 控 
制 连接 建立 在 TCP 连接 基础 之 上 ，PNS 和 PAC 建立 控制 连接 是 通过 交互 Start-Control- 
Connection-Request 和 Start-Control-Connection-Reply 消息 完成 的 。 一 旦 控制 连接 建立 完 
成 ，PAC 或 者 PNS 可 以 对 外 发 送 呼叫 请 求 ， 或 者 对 拨 入 的 呼叫 请 求 进行 啊 应 ， 特 定 的 会 
话 可 以 由 PAC 或 者 PNS 通过 控制 连接 消息 进行 释放 。 

控制 连接 是 由 它 目 己 的 保持 激活 回 显 (keep-alive echo) 消息 进行 维护 的 ， 这 样 确保 
了 PNS 和 PAC 之 间 的 连通 性 故障 可 以 及 时 得 到 检测 。 其 他 故障 可 以 通过 控制 连接 发 送 
的 广域网 错误 通知 (Wan-Error-Notify) 消息 进行 报告 。 

2. 隧道 连接 简介 

PPTP 需要 为 每 个 PNS-PAC 对 的 通信 建立 专用 的 隧道 。 隧 道 是 用 于 承载 指定 
PNS-PAC 对 中 所 有 用 户 会 话 过 程 中 由 增强 型 GRE 协议 封装 的 PPP 数据 包 。 在 GRE 报头 
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中 有 两 个 密 钥 (Key) 字段 ， 指 示 了 一 个 PPP 数据 包 所 属 的 会 话 , “Key” 字 段 中 的 值 是 
由 控制 连接 上 的 呼叫 建立 流程 进行 赋值 的 。 特 定 的 PNS-PAC 对 间 使 用 单一 隧道 对 PPP 
数据 包 进 行 多 路 复 用 和 解 复 用 。 

在 PPTP 协议 中 使 用 的 增强 型 GRE 头 与 普通 的 GRE 协议 有 所 增强 。 主 要 的 区 别 是 
增加 了 一 个 新 的 “确认 号 ”(Acknowledgment Number) 字段 的 定义 ， 用 来 确定 一 个 或 一 
组 特定 的 GRE 数据 包 是 否 已 到 达 隧 道 远 端 ， 但 此 确认 功能 不 用 于 任何 用 户 数据 包 的 重 
传 。 增 强 型 GRE 数据 包头 部 格式 如 图 1-8 所 示 ， 各 字段 含义 具体 说 明 如 下 。 


中 33、 半 人 3 31bit 


CEOS ee we 


1-8 增强 型 GRE 数据 包头 部 格式 






e。 C(Bit 0): 1 位， 当前 是 侣 存在 “Checksum”( 校 验 和 ) 字段 ， 此 处 置 0， 表 示 无 


。 R(Bit 1): 1 位 ， 当 前 是 否 存在 “Routing” 字 段 ， 此 处 置 0， 表 示 无 该 字段 。 

e。 K(Bit2): 1 位 ， 当 前 Key， 此 处 置 1， 表 示 有 “Key” 字 段 。 

e。 S(Bit 3): 3 位 ， 当 前 序列 号 ， 如 条 存在 负载 则 置 1， 如 果 没 有 负载 (GRE 数据 
包 仅 用 于 确认 )， 则 置 0。 

。 s(Bit4): 4 位， 当前 限制 路 由 源 功 能 ， 此 处 置 0， 表 示 无 路 由 产 限制 。 

。 Recur (Bits 5-7): 3 位 ， 递 归 控 制 ， 用 来 表示 GRE 报 文 被 封装 的 层 数 。 完 成 一 次 
GRE 封装 后 将 该 字段 加 1。 如 果 封 装 层 数 大 于 3， 则 丢弃 该 报 文 。 该 字段 的 作用 是 防止 
报 文 被 无 限 次 的 封装 。 此 处 必须 置 0， 表 示 数 据 包 在 此 之 前 没有 经 过 GRE 协议 封 疙 。 

。 A(Bit 8): 1 位 : 确认 号 。 如 果 GRE 数据 包 中 包含 用 于 确认 传输 数据 的 确认 三 ， 
则 置 1， 人 否则 置 0。 

。 Flags(Bits 9-12) : 4 位， 此 处 全 部 置 0， 没 有 赋予 特定 的 含义 ， 相 当 于 保留 字段 。 

。 Ver(Bits 13-15) : 3 位 ， 此 处 置 1， 代 表 是 增强 型 的 GRE 协议 的 版 本 号 。 

e Protocol Type: 16 位 ， 为 固定 值 0x880B， 对 应 增强 型 GRE 协议 类 型 

e Key Payload Length: Key 的 高 2 个 字 节 ， 指 示 负 载 大 小 ， 不 包括 GRE 头 。 

。 Key Call ID: Key 的 低 2 个 字 节 ， 包 含 在 传输 此 数据 包 的 会 话 中 对 问 的 Call ID。 

。 Sequence Number: 32 位 ， 负 载 的 序列 号 ， 仅 当 $S 字段 置 1 时 有 效 ， 是 数据 包 的 
序列 号 。 会 话 局 动 时 ， 每 个 用 户 会 话 的 序列 号 设置 为 去。 包含 载 向 〈S 字段 置 1) 的 每 
一 个 数据 包 都 将 被 分 配 该 会 话 中 下 一 个 连续 的 序列 号 。 

e Acknowledgment Number: 32 位 ， 确 认 号 ， 包 含 在 当前 用 户 会 话 中 接收 来 目 发 送 
端的 GRE 数据 包 序 列 号 中 的 最 大 数字 。 仪 当 A 字段 置 1 时 有 效 。 

GRE 头 中 的 “确认 号 ”和 “序列 号 ”字段 用 于 执行 隧道 上 发 生 的 一 些 冲突 控制 级 别 
和 错误 检测 。 同 样 ， 控 制 连接 被 用 来 确定 用 于 调节 通过 隧道 的 特定 会 话 的 PPP 数据 包 流 
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的 速率 和 绥 冲 参数 。PPTP 不 对 冲突 控制 和 流量 指定 特定 的 算法 。 

3. PPTP 协议 的 消息 分 类 及 基本 格式 

PPTP 定义 了 一 套用 于 在 PNS 和 PAC 之 间 控 制 连接 上 作为 TCP 数据 发 送 的 消息 。 
发 起 控制 连接 所 需 的 TCP 会 话 的 建立 时 所 用 的 目的 端口 是 TCP 1723， 源 端口 是 1024 或 
更 大 的 一 个 当前 未 使 用 的 任意 TCP 端口 。 

每 个 PPTP 控制 连接 消息 以 一 个 8 字 节 的 固定 表 头 部 分 开始 。 固 定 头 包括 : 消息 总 
长 (Length)、PPTP 消息 类 型 (Type) 和 “Magic Cookie” 三 个 字段 。“Magic Cookie” 
字段 是 一 个 固定 的 值 , 总 是 等 于 0x1A2B3C4D, 它 的 基本 用 途 是 允许 接收 者 确保 它 与 TCP 
数据 流 正确 地 进行 同步 , 但 它 不 能 用 于 在 发 生 不 适当 格式 消息 的 传输 事件 时 与 TCP 数据 
流 重 同步 。 不 同步 时 ， 将 会 关闭 在 该 TCP 会 话 上 建立 的 控制 连接 。 

PPTP 有 两 种 控制 连接 消息 : 控制 消息 和 管理 消息 ， 但 管理 消息 目前 未 定义 。 表 1-3 
列 出 了 PPTP 协议 中 的 控制 消息 类 型 及 对 应 的 代码 值 (十 六 进 制 )。 但 因为 华 设备 不 支持 
PPTP VPN 通信 ， 故 在 此 不 对 这 些 PPTP 消息 格式 进行 具体 介绍 。 


表 1-3 PPTP 控制 消息 
和 
控制 连接 管 量 类 消 息 
Start-Control-Connection-Request 《启动 控制 连接 请 求 ) 1 
Start-Control-Connection-Reply 《启动 控制 连接 应 答 ) 2 
Stop-Control-Connection-Request 《停止 控制 连接 请 求 ) 
Stop-Control-Connection-Reply (停止 控制 连接 应 答 ) 二 
Echo-Request 《回声 请 求 ) 5 
Echo-Reply 《回声 应 答 ) 
呼叫 管理 类 消息 
Outgoing-Call-Request 〔 呼 叫 请 求 ) 7 
Outgoing-Call-Reply 《呼叫 应 答 ) 8 
Incoming-Call-Request (来 电 请 求 ) 2 
Incoming-Call-Reply 〈 来 电 应 答 ) 10 
Incoming-Call-Connected (呼叫 连接 ) 11 
Call-Clear-Request 《呼叫 清除 连接 ) 12 
Call-Disconnect-Notify 《呼叫 中 断 通 知 ) 13 
错误 报告 类 消息 
WAN-Error-Notify (WAN 错误 通告 ) 14 
PPP 会 话 控制 类 消息 
Set-Link-Info 〈 链 路 信息 集 ) 15 


1.3.3 L2TP 协议 


L2TP (Layer 2 Tunneling Protocol， 二 层 降 道 协 议 ) 也 是 VPDN 隧道 协议 的 一 种 ， 
与 PPTP 协议 一 样 也 是 PPP (Point-to-Point Protocol， 点 对 点 协议 ) 的 扩展 应 用 ， 可 用 于 
远程 拨号 用 户 接 入 企业 总 部 网 络 ， 也 可 用 于 分 支 机 构 与 企业 总 部 网 络 的 互联 ， 具 体 将 在 
本 书 第 5 章 介绍 
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1. L2TP 协议 简介 

L2TP 协议 提供 了 一 种 跨越 原始 数据 网 络 (如 了 IP 网 络 ) 构建 二 层 隧 道 的 机 制 。L2TP 
协议 最 初 是 在 RFC 2661 定义 的 ， 最 新 的 V3 版 本 是 在 RFC3931 中 定义 。 它 集合 了 PPTP 
和 L2F 两 种 协议 的 优点 ， 目 前 已 被 广泛 接受 ， 主 要 应 用 在 单个 或 少数 远程 终端 通过 公共 
网 络 接 入 企业 内 联网 的 需要 。 

L2TP 协议 包含 两 类 消息 : 控制 消息 和 数据 消息 。 控 制 消 县 用 于 建立 、 维 护 和 请 除 
控制 连接 和 会 话 。 这 些 信 息 利 用 L2TP 可 靠 的 控制 信道 以 保证 交付 。 数 据 信 息 是 通过 
L2TP 会 话 进行 二 层 封 装 传输 的 。 但 不 同 于 控制 信息 ， 当 发 生 数 据 包 丢失 时 ， 数 据 信 息 
不 能 重 发 。 

L2TP 控制 消息 头 为 L2TP 会 话 的 建立 、 维 护 和 拆除 提供 了 可 靠 消 息 传 输 信息 。 默 认 
情况 下 ， 控 制 消 息 是 携带 在 数据 消息 之 内 传输 的 ， 控 制 消息 头 部 格式 如 图 1-9 所 示 。 各 
字段 说 明 如 下 。 


012343678959101l12 31bit 


hl bbe 


Control Connection ID 





图 1-9 L2TP 控制 消息 头 格式 


e T: 1 位 ， 必 须 置 1， 表 示 此 消 恩 是 控制 消 忆 。 
e。 工 和 S 字段 : 各 占 1 位， 必须 置 1， 指 示 存 在 “Length” 和 “Sequence Number” 


e。 各 XxX: 各 占 1 位， 保留 位 ， 必 须 全 部 置 0， 用 于 协议 的 未 来 扩展 。 

e。 Ver: 3 位 ， 指 示 控 制 消 息 所 用 的 L2TP 协议 版 ， 对 于 L2TPv3 版 本 来 说 ， 此 字段 
值 为 3。 

。 Length: 16 位 ， 以 字 节 为 单位 标识 整个 控制 消息 长 度 ， 包 括 控制 消息 头 。 

e。 Control Connection ID: 32 位 ， 标 识 控制 连接 ID 号 。 不 同 控制 连接 的 ID 号 必须 唯 
一 ， 但 对 于 同一 控制 连接 会 话 中 发 送 的 请 求 消息 和 应 答 消 息 的 控制 连接 ID 号 必须 一 样 。 

e。 Ns: 16 位 ， 标 识 当前 控制 消息 的 序列 号 ， 从 0 开始 ， 每 次 增加 1。 

。 Nr: 16 位 ， 标 识 下 一 个 希望 接收 的 一 个 控制 消息 的 序列 号 ， 是 上 次 接收 到 的 控 
制 消息 中 Ns 字段 值 加 1。 

L2TP 数据 消息 包括 一 个 会 话 头 〈Session Header )、 一 个 可 选 的 二 层 摘 述 子 层 
(L2-Specific Sublayer) 和 隧道 负载 (Tunnel Payload)。L2TP 会 话 头 对 于 通过 L2TP 通信 
中 被 封装 的 PSN( 包 交换 网 络 ， 如 IP、MPLS、FR 等 ) 来 说 是 特定 的 ， 必 须 提供 区 分 多 
个 LZ2TP ei ial 区 分 控制 消息 和 数据 信息 的 方法 。 每 种 PSN 的 封装 
必须 定义 自己 的 会 话 头 ， 清 楚 地 标识 会 话 头 格式 和 要 设置 的 会 话 参数 。 

二 层 描述 子 层 是 位 于 L2TP 会 话 头 和 隧道 帧 开始 处 之 间 ， 包 含 用 于 帮助 每 个 帧 穿越 
隧道 的 一 些 控制 字段 (如 “序列 号 ”或 “标志 ”字段 )。“ 隧 道 负载 ”也 就 是 要 真正 传输 
的 PPP 数据 帧 。 
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2. L2TP 的 主要 特性 

与 PPTP 协议 一 样 , L2TP 协议 也 是 对 PPP 数据 帧 进行 封装 , 在 公共 网 络 上 建立 虚拟 
链 路 传输 企业 的 私有 数据 ， 节 省 了 租用 物理 专线 的 高 额 费 用 。 同 时 将 企业 从 复杂 和 专业 
的 网 络 维护 中 解放 出 来 , 只 需要 维护 私有 网 络 和 远程 接 入 的 用 户 , 降低 了 用 户 维 护 成 本 。 

L2TP 还 具有 如 下 特点 ， 可 以 为 企业 提供 方便 、 安 全 和 可 靠 的 远程 用 户 接 入 服务 。 

(1) 灵活 的 身份 认证 机 制 以 及 高 度 的 安全 性 

。 L2TP 可 使 用 PPP 提供 的 安全 特性 (如 PAP、CHAP ), 对 接 入 用 户 进行 身份 认证 。 

。 L2TP 定义 了 控制 消息 的 加 密 传 输 方式 ， 文 持 L2TP 隧道 的 验证 。 

e L2TP 对 传输 的 数据 不 加 密 , 但 可 以 和 Internet 协议 安全 协议 IPSec 结合 应 用 (部 
署 L2TP Over IPSec)， 为 数据 传输 提供 高 度 的 安全 保证 。 

(2) 多 协议 传输 

因为 L2TP 协议 传输 的 是 PPP 协议 数据 ， 而 PPP 协议 可 以 传输 多 种 协议 报 文 ， 所 以 
L2TP 可 以 在 IP 网 络 、 以 太 网 、 帧 中 继 永 久 虚 拟 电 路 (PVC)、X.25 虚拟 电路 (VC) 或 
ATM VC 网 络 上 使 用 。 

(3) 支持 RADIUS 服务 器 的 验证 

L2TP 协议 对 接 入 用 户 不 仅 支 持 本 地 验证 ， 还 支持 将 拨号 接 入 的 用 户 名 和 密码 发 往 
RADIUS 服务 器 进行 验证 ， 为 企业 管理 接 入 用 户 提供 了 更 多 的 选择 。 

(4) 支持 私 网 IP 地 址 分 配 

应 用 L2TP 的 企业 总 部 网 关 可 以 为 远程 用 户 动态 分 配 私 网 IP 地 址 ,使 远程 访问 用 户 
可 以 访问 到 企业 总 部 网 络 内 部 资源 。 

(5) 可 靠 性 

L2TP 协议 支持 备份 LNS， 即 当 一 个 主 LNS 不 可 达 之 后 ，LAC 可 以 与 备份 LNS 建 
立 连接 ， 增 强 了 VPN 服务 的 可 靠 性 。 


1.3.4 MPLS 协议 


MPLS VPN 的 应 用 分 为 二 层 YPN (L2VPN) 和 三 层 YPN (L3VPN) 两 大 类 。MPLS 
L2VPN 的 种 类 有 很 多 ， 如 各 种 方式 的 VLL、PWE3 和 VPLS， 人 负责 二 层 网 络 (包括 二 层 
以 太 网 、FR、ATM、HDLC 网 络 等 ) 的 远程 互 连 ， MPLS L3VPN 目前 主要 有 BGP/MPLS 
IP VPN， 负 责 三 层 卫 网 络 的 远程 互 连 。 这 些 MPLS VPN 的 具体 应 用 及 配置 与 管理 方法 
在 《华为 MPLS 学 习 指 南 》 一 书 中 都 有 介绍 ， 在 此 仅 对 MPLS 协议 本 身 做 简单 的 介绍 。 

1. MPLS 的 产生 背景 

在 20 世纪 90 年 代 中 期 ， 随 看 IP 技术 的 快速 发 展 ，Internet 数据 海量 增长 。 但 由 于 
硬件 技术 存在 限制 ,基于 最 长 匹配 原则 的 IP 路 由 技术 必须 使 用 软件 查找 路 由 ， 转 发 性 能 
低下 ， 因 此 IP 路 由 转发 性 能 成 为 当时 限制 网 络 发 展 的 瓶颈 。 

为 了 适应 网 络 的 发 展 ，ATM 技术 应 运 而 生 。ATM 采用 定 长 标签 ( 即 VPVVCI)， 并 
且 只 需要 维护 比 卫 路 由 表 规模 小 得 多 的 标签 表 (MPLS 标签 分 入 标签 和 出 标签 两 种 ， 
MPLS 报 文 转发 时 是 根据 出 标签 进行 的 )， 能 够 提供 比 卫 路 由 方式 高 得 多 的 转发 性 能 。 
然而 ，ATM 协议 相对 复杂 ， 且 ATM 网 络 部 署 成 本 高 ， 这 使 得 ATM 技术 很 难 普 及 。 如 
何 结合 IP 与 ATM 的 优点 成 为 当时 热门 话题 。 多 协议 标签 交换 技术 MPLS 就 是 在 这 种 背 
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景 下 产生 的 。 

MPLS 最 初 是 为 了 提高 路 由 器 的 转发 速度 而 提出 的 。 与 传统 卫 路 由 方式 相 比 ， 它 在 
数据 转发 时 ， 只 在 网 络 边缘 分 析 IP 报头 ， 而 不 用 在 每 一 跳 都 分 析 IP 报头 ， 节 约 了 中 间 
设备 的 处 理 时 间 。 但 随 着 专用 集成 电路 ASIC (Application Specific Integrated Circuit， 专 
用 集成 电路 ) 技术 的 发 展 ， 路 由 查找 速度 已 经 不 是 阻碍 网 络 发 展 的 瓶 贷 ， 这 使 得 MPLS 
在 提高 转发 速度 方面 不 再 具备 明显 的 优势 。 但 是 MPLS 支持 多 层 标 签 和 转发 平面 面 癌 连 
接 的 特性 ， 使 其 在 VPN、 流 量 工程 (TE)、QoS 等 方面 得 到 广泛 应 用 。 

2. MPLS 协议 简介 

MPLS 是 一 种 IP 骨干 网 技术 ,在 无 连接 的 IP 网 络 上 引入 面向 连接 的 标签 交换 概念 ， 
将 第 三 层 IP 路 由 技术 和 第 二 层 交 换 技 术 相 结合 ， 充 分 发 挥 了 卫 路 由 的 灵活 性 和 二 层 交 
换 的 简捷 性 。 

MPLS 起 源 于 IPv4， 其 核心 技术 可 扩展 到 多 种 网 络 协议 ， 包 括 IPv6、IPX 和 CLNP 
等 。MPLS 中 的 “Multiprotocol” 指 的 就 是 支持 多 种 网 络 协议 的 意思 。 由 此 可 见 ，MPLS 
并 不 是 一 种 业务 或 者 应 用 ， 实 际 上 是 一 种 隧道 技术 ， 可 以 对 不 同 协议 包 进 行 重 封 朔 。 这 
种 技术 不 仅 支 持 多 种 高 层 协议 与 业务 ， 而 且 在 一 定 程度 上 可 以 保证 信息 传输 的 安全 性 。 

MPLS 网 络 的 典型 结构 如 图 1-10 所 示 ， 可 以 进行 MPLS 标签 交换 和 报 文 转发 的 网 络 
设备 称 为 LSR (Label Switching Router， 标 签 交 换 路 由 器 )， 如 图 中 所 有 的 路 由 器 ; 由 LSR 
构成 的 网 络 区 域 称 为 MPLS 域 (MPLS Domain)。 位 于 MPLS 域 边缘 、 连 接 其 他 网 络 的 LSR 
称 为 LER (Label Edge Router, 边缘 路 由 器 ), 区 域内 部 的 LSR 称 为 核心 LSR (Core LSR)。 





IP Network ; 


LER 本 Ey LER 


1-10 ”MPLS 典型 网 络 结构 


在 MPLS L3VPN 应 用 中 , 报 文 在 卫 网 络 内 进行 传统 的 卫 转发 , 在 MPLS 域内 按 标 
签 进 行 转 发 。 入 口 LER 负责 从 IP 网 络 接收 IP 报 文 并 给 报 文 打上 标签 (是 MPLS 出 标签 )， 
然后 送 到 核心 LSR〔 在 此 处 要 进行 MPLS 标签 交换 )， 仅 负责 按照 外 层 MPLS 标签 进行 
报 文 转发 ， 出 口 LER 负责 从 LSR 接收 带 MPLS 报 文 并 去 掉 标签 (支持 PHP 特性 的 外 层 
标签 通常 在 倒数 第 二 跳 就 被 弹出 )， 还 原 为 原始 的 了 P 报 文 ,然后 转发 到 目的 IP 网 络 ， 根 
据 IP 路 由 转发 到 目的 设备 。 

IP 报 文 在 MPLS 网 络 中 经 过 的 路 径 称 为 LSP (Label Switched Path, 标签 交换 路 径 )， 
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在 报 文 转发 之 前 已 经 通过 手工 静态 配置 , 或 者 像 LDP 这 样 的 动态 标签 协议 协商 确定 并 建 
立 的 ， 报 文 会 在 特定 的 LSP 上 传递 。 这 就 是 MPLS 所 建立 的 “隧道 ” 

LSP 的 入 口 LER 称 为 入 节点 〈Ingress); 位 于 LSP 中 间 的 LSR 称 为 中 间 节 点 (Transit); 
LSP 的 出 口 LER 称 为 出 节点 (Egress)。 一 条 LSP 可 以 有 0 个 、1 个 或 多 个 中 间 市 点 ,但 
有 且 只 有 一 个 入 节点 和 一 个 出 节点 。 如 图 1-11 所 示 的 LSP 是 一 个 单 问 路 径 示 意图 。 


192.168.1.0/24 


2 





Ingress 下 行 流量 Transit 下 行 流量 ares 


br LOP 


图 1-11 单 向 路 径 LSP 示意 


以 指定 的 LSR 为 视角 ， 根 据 数 据 传送 的 方向 ， 所 有 往 本 LSR 友 送 MPLS 报 文 的 LSR 
都 可 以 称 为 上 游 LSR, 本 LSR 将 MPLS 报 文 发 送 到 的 所 有 下 一 跳 LSR 都 可 以 称 为 下 游 LSR。 
如 图 1-11 所 示 ， 对 于 发 往 192.168.1.0/24 的 数据 流 来 说 ，Ingress 是 Transit 的 上 洲 和 点，Transit 
是 Ingress 的 下 游 节 点 。 同 理 ，Transit 是 Egress 上 游 节 点 。Egress 是 Transit 的 下 游 节 点 。 


1.3.5 ”IPSec 协议 族 


IPSec (IP Security) 不 是 一 个 单独 的 协议 ， 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 
一 整套 体系 结构 ， 包 括 AH (Authentication Header， 认 证 头 ) 协议 和 ESP (Encapsulating 
Security Payload， 封 装 有 效 载荷 ) 协议 、IKE (Internet Key Exchange， 密 钥 管理 协议 ) 
等 协议 ， 以 及 用 于 用 户 身 份 认证 和 数据 加 密 的 一 系列 算法 。 

1. IPSec 协议 族 所 提供 的 安全 服务 

IPSec 协议 族 可 在 网 络 层 通过 数据 源 认 证 、 数 据 加 密 、 数 据 完 整 性 和 抗 重 放 功 能 
保证 通信 双方 Internet 上 传输 数据 的 安全 性 。 

e。 数据 加 密 : IPSec 发 送 方 在 发 送 数据 时 要 先 对 经 过 所 选择 的 安全 协议 重 封 装 后 的 
数据 包 进 行 加 密 ， 以 确保 数据 包 和 在 隧道 中 传输 的 安 人 全。 当然， 在 接收 方 要 采取 对 应 的 解 
封 疾 和 解密 技术 对 原 加 密 数 据 包 进行 还 原 和 解密 。 

。 数据 完整 性 (Data Integrity〉 和 数据 源 认 证 (Data Authentication): IPSec 使 用 
AH 或 /和 ESP 协议 为 卫 数据 包 提 供 无 连接 的 数据 完整 性 和 数据 源 认 证 ， 以 确保 数据 在 
传输 过 程 中 没有 被 算 改 , 并 且 来 源 是 合法 的 。ESP 协议 还 可 为 数据 包 提 供 数 据 加 密 服 务 。 

。 抗 重 放 (Anti-Replay): IPSec 使 用 AH 或 /和 ESP 协议 提供 抗 重 放 服 务 ， 检 测 并 
拒绝 接收 过 时 或 重复 的 IP 报 文 ， 防止 恶意 用 户 通 过 重复 发 送 捕获 到 的 数据 包 所 进行 的 
攻击 。 

2. IPSec 主要 协议 

上 文 已 提 到 IPSec 不 是 一 个 单独 的 协议 ， 而 是 包括 一 组 协议 ， 其 中 主要 包括 AH、 
ESP 和 IKE 这 三 种 。 因 为 这 三 种 协议 都 将 在 本 章 或 第 2 章 中 有 详细 介绍 ， 故 在 此 仅 做 简 
单 说 明 。 

(1) AH 协议 

AH 协议 是 一 个 用 于 提供 IP 数据 包 完 整 性 检查 和 身份 认证 的 机 制 , 其 完整 性 检查 
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是 用 来 保证 数据 包 在 到 达 接 收 方 时 没有 被 算 改 , 而 身份 认证 则 是 用 来 验证 数据 的 来 源 
(识别 主机 、 用 户 、 网 络 等 )。AH 本 身 不 提供 加 密 功 能 ， 故 它 不 能 提供 数据 传输 的 机 

AH 协议 通过 对 整个 IP 数据 包 进 行 摘 要 计算 来 提供 完整 性 检查 和 身份 认证 服务 。 一 
个 消 恩 摘要 就 是 一 个 特定 的 单 同 数据 冰 数 ， 它 能 够 创建 数据 包 唯 一 的 数字 指纹 (类 似 人 
的 指纹 ， 是 唯一 的 ， 可 作为 合法 性 认证 )， 通 常 是 采用 MD5 或 者 SHA 哈 希 算法 (也 称 
“ 散 列 算法 ”)。 一 个 消息 摘要 在 被 发 送 之 前 和 数据 被 接收 到 以 后 都 可 以 根据 一 组 数据 计 
算出 来 。 如 果 两 次 计算 出 来 的 摘要 值 是 一 样 的 ， 那 么 表明 该 数据 包 在 传输 过 程 中 就 没有 
被 自 改 。 

(2) ESP 协议 

ESP 协议 除 可 以 实现 AH 协议 的 全 部 功能 外 ， 还 可 为 传输 的 数据 提供 加 密 服务 ， 
为 除了 可 使 用 MD5、SHA 这 类 身份 认证 算法 外 ， 还 可 以 采用 AES、DES、3DES 等 这 类 
加 密 算 法 。 

(3) IKE 协议 

IKE 协议 用 于 在 两 个 通信 实体 协商 、 建 立 安全 联盟 (SA)， 并 进行 密 钥 交 换 。SA 是 
IPSec 中 的 一 个 重要 概念 ， 它 表示 两 个 或 多 个 通信 实体 之 间 经 过 了 身份 认证 ， 且 这 些 通 
言 实体 都 能 支持 相同 的 加 密 算 法 ， 成功 地 交换 了 会 话 密 钥 ,可 以 开始 利用 IPSec 进行 安 
全 通信 。SA 既 可 以 通过 命令 配置 由 系统 自动 生成 ， 也 可 以 通过 手工 方式 建立 ， 但 是 当 
VPN 中 结 点 增多 时 ， 手 工 配 置 将 非常 困难 。 

3. PS VPN 的 应 用 场 丸 

IPSes 愉 是 IPSec 的 一 种 应 用 方式 ， 其 目的 是 为 IP 远程 通信 提供 高 安全 性 特性 。 
IPSec VPN 的 应 用 场景 分 为 以 下 三 种 。 

(1) Site-to-Site〈 站 点 到 站 点 ， 或 者 网 关 到 了 网关) 

如 企业 的 多 个 机 构 分 布 在 互联 网 的 多 个 不 同 的 地 方 ， 各 使 用 一 个 应 用 层 网 关 相 互 建 
并 VPN 隧道 , 企业 各 分 机 构 内 网 的 用 户 之 间 的 数据 通过 这 些 网 关 建 立 的 IPSec 隧道 实现 
妆 全 互联 

本 书 所 介绍 的 IPSec VPN 应 用 主要 是 针对 这 种 情形 的 ， 因 为 这 是 需要 在 三 层 设 备 上 
配置 的 ， 无 需 在 用 户 终 端 主机 上 配置 。 

(2) End-to-End( 病 到 端 ， 或 者 PC 到 PC ) 

两 个 位 于 不 同 网 络 的 PC 之 间 的 通信 由 两 个 PC 之 间 的 IPSec 会 话 保护 , 而 不 是 由 网 
关 之 间 的 IPSec 会 话 保 护 。 这 种 IPSec VPN 是 通过 一 些 IPSec VPN 客户 端 软件 ， 如 
Windows (Windows 7/8/10 系统 中 支持 采用 IKEvV2 动态 协商 )、Linux 桌面 操作 系统 中 上 自 
带 的 IPSec VPN 客户 功能 ，Huawei VPN Client 等 客户 端 软 件 ， 结 合 Window 或 Linux 服 
务 器 系统 中 自 带 的 IPSec VPN 服务 器 功能 来 实现 的 。 这 不 是 本 书 所 要 介绍 的 内 容 。 

(3) End-to-Site《〈 痛 到 站 点 ， 或 者 PC 到 网 天 ) 

两 个 位 于 不 同 网 络 的 PC 之 间 的 通信 由 网 关 和 有 异地 PC 之 间 的 IPSec 进行 保护 。 在 
IPSec VPN 客户 端 方面 同样 可 利用 Windows、Linux 桌面 操作 系统 中 自 带 的 IPSec VPN 
客户 功能 ，Huawei VPN Client 等 客户 端 软 件 来 完成 的 。 通 第 是 采用 我 们 将 在 本 书 第 5$ 章 
介绍 的 L2TP over IPSec 方案 来 部 署 ， 即 在 L2TP VPN 基础 上 采用 IPSec 来 提供 更 好 的 安 
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全 保护 。 
有 关 IPSec VPN 方面 更 详细 的 技术 原理 ， 以 及 在 不 同 IPSec 隧道 建立 方式 下 的 配置 
与 管理 方法 将 在 本 书 第 2 一 4 章 介 绍 。 


1.3.6 ”GRE 协议 


随 着 IPv4 网 络 的 广泛 应 用 ， 为 了 使 某 些 网 络 层 协议 (如 了 IP 或 IPX 协议 等 ) 的 报 文 
能 够 在 IP 网 络 中 传输 ， 可 以 将 这 些 报 文通 过 GRE 技术 进行 封装 ， 解 决 异 种 网 络 的 传输 
问题 。GRE 采用 了 Tunnel 〈 隧 道 ) 技术 ， 也 是 一 种 三 层 VPN 隧道 协议 。 






本 节 介 绍 普通 的 GRE 协议 ， 而 不 是 本 章 已 经 介绍 的 用 于 PPTP 协议 中 的 增强 型 


GRE 隧道 技术 可 以 为 远程 通信 的 数据 包 传输 提供 一 条 逻辑 的 专用 传输 通道 , 在 隧道 
的 两 端 分 别 对 数据 报 进 行 封 装 及 解 封 装 ， 其 基本 的 组 网 结构 如 图 1-12 所 示 。“X 网 络 ” 
可 以 是 相同 或 不 同类 型 网 络 , 如 一 端 为 IPv4 网 络 , 另 一 端 为 IPv6 网 络 , 或 者 一 端 为 IPv4 
网 络 ， 另 一 端 为 Novell 网 络 等 。 


<> 
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Router A Router B 








图 1-12 ”GRE 隧道 基本 组 网 结构 


在 GRE 隧道 建立 前 必须 先 在 两 端 创建 所 需 的 隧道 接口 (Tunnel 接口 )， 它 是 为 实现 
报 文 的 封装 而 提供 的 一 种 点 对 点 类 型 的 虚拟 接口 , 与 Loopback 接口 类 似 , 都 是 一 种 逻辑 
接口 。 

GRE 隧道 接口 与 其 他 隧道 接口 类 似 ， 均 包含 以 下 元 素 : 

。 源 地 址 : 传输 网 络 中 的 网 络 层 协议 (如 IPv4 或 JPv6 协议 ) 报 文中 的 源 地 址 。 从 
负责 封装 后 报 文 传输 的 网 络 来 看 ， 隧 道 的 源 地 址 就 是 实际 发 送 报 文 的 接口 IP 地 址 。 

e 目的 地 址 : 传输 网 络 中 的 网 络 层 协议 (如 IPv4 或 IPv6 协议 ) 报 文中 的 目的 
地 址 。 从 负责 封装 后 报 文 传输 的 网 络 来 看 , 隧道 本 端的 目的 地 址 就 是 隧道 目的 端的 源 
地 址 。 

。 隧道 接口 IP 地 址 : 为 了 在 隧道 接口 上 启用 动态 路 由 协议 ， 或 使 用 静态 路 由 协议 
发 布 隧道 接口 ， 需 要 为 隧道 接口 分 配 IP 地 址 。 隧 道 接 口 的 IP 地 址 可 以 不 是 公共 网 络 地 
址 , 甚至 可 以 借用 其 他 接口 的 IP 地 址 以 节约 卫 地 址 。 但 是 当 Tunnel 接口 借用 卫 地 址 时 ， 
由 于 Tunnei 接口 本 身 没 有 IP 旧址， 无 法 在 此 接口 上 启用 动态 路 由 协议 ， 必 须 配 置 静态 
路 由 或 策略 路 由 才能 实现 设备 间 的 连通 性 。 

e 封装 类 型 : 隧道 接口 的 封装 类 型 是 指 该 隧道 接口 对 报 文 进行 的 封装 方式 。 对 于 
GRE 隧道 接口 而 言 ， 封 装 类 型 则 为 GRE。 
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建立 GRE 隧道 之 后 ， 就 可 以 将 隧道 接口 看 成 是 一 个 物理 接口 ， 运 行动 态 路 由 协议 
或 配置 静态 路 由 。 然 后 指定 由 此 Tunnel 接口 作为 出 接口 的 数据 都 将 通过 这 条 GRE 隧道 
进行 转发 。 但 要 注意 的 是 ，GRE VPN 仅 适 用 于 Site-to-Site 的 网 络 互联 ， 而 且 两 端 公 网 
网 关 接 口 必 须 分 配 公 网 IP 地址 , 不 支持 End-to-Site 模式 , 支持 但 不 建议 采用 基于 动态 公 
网 IP 地 址 的 Internet 接 入 方式 。 

有 关 GRE VPN， 以 及 利用 mGRE (多 点 GRE) 技术 的 DSVPN 将 分 别 在 本 书 第 6 
章 和 第 7 章 介绍 。 


1.4 ”VPN 身份 认证 技术 


对 于 一 些 使 用 PPP 协议 通信 的 二 层 VPN 方案 , 如 PPTP VPN 和 L2TP VPN, 是 直接 
采用 数据 链 路 层 PPP 协议 支持 的 PAP (Password Authentication Protocol， 密 码 认 证 协议 ) 
或 CHAP (Challenge Handshake Authentication Protocol， 质询 握 手 认证 协议 ) 进行 用 户 身 
份 认证 的 。 但 必须 确保 PPP 链 路 两 端的 接口 上 启用 了 相同 的 PPP 认证 方式 ， 并 且 相 关 功 

能 配置 正确 。 而 在 一 些 三 层 VPN 方案 中 ,要 使 用 密 钥 进行 认证 ， 这 就 涉及 一 些 认证 密 钥 
算法 ， 如 MD5、SHA、SM3 等 。 


1.4.1 PAP 协议 报 文 格式 及 身份 认证 原理 


本 节 具 体 介绍 PAP 认证 报 文 的 格式 和 基本 的 认证 原理 。 虽 然 以 下 内 容 是 针对 PPP 
协 介绍 的 ， 但 同时 适用 于 PPP 协议 的 扩展 协议 ， 如 PPTP 和 L2TP 协议 。 

.PAP 报 文 格式 

PAP 协议 是 PPP 协议 簇 中 的 一 个 ， 与 PPP 一 样 同位 于 数据 链 路 层 ， 但 在 PPP 协议 

上 ,其 帧 也 要 受到 PPP 协议 封装 。PPP 协议 数据 帧 格式 如 图 1-13 所 示 ， 如 果 封 装 的 是 
PAP 报 文 ， 则 其 中 的 “协议 ”字段 值 为 0xC023。 有 关 PPP 数据 帧 格式 中 各 字段 的 详细 
介绍 请 参见 《深入 理解 计算 机 网 络 〈 新 版 )》 一 书 。 





图 1-13 PPP 数据 帧 格式 
PAP 协议 报 文 格式 如 图 1-14 所 示 ， 各 字段 说 明 如 下 : 


可 变 bytes 


8 8 16 
图 1-14 PAP 协议 报 文 格式 
e Code: 报 文 代码 ，8 字 节 ， 用 于 识别 PAP 报 文 类 型 ，1 为 Authenticate-Request 


(认证 请 求 )，2 为 Authenticate-ACK (认证 确认 )，3 为 Authenticate-NAK 〈 认 证 否认 )。 
e Identifier: 报 文 标识 符 ，8 字 节 ， 类 似 于 报 文 序列 号 ， 同 一 组 认证 进程 下 的 请 求 
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报 文 和 应 答 报 文 标识 符 一 致 。 

。 Length: 长 度 ，16 字 节 ， 以 字 节 为 单位 标识 整个 PAP 报 文 〈 包 括 本 字段 ) 的 
长 度 。 

e。 Data: 数据 , 长 度 可 变 , 具体 内 容 会 因 PAP 报 文 类 型 的 不 同 而 不 同 , 如 果 是 ACK 
报 文 ， 该 字段 长 度 为 0 NAK 报 文中 该 字段 会 说 明 认 证 失败 的 原因 ; Request 报 文 中 该 
字段 为 用 于 进行 身份 认证 的 用 户 赁 据 信息 。 

2. PAP 协议 身份 认证 原理 

PAP 协议 的 映 份 认证 过 程 非常 简单 ， 是 一 个 二 次 握手 机 制 ， 整 个 认证 过 程 仅 需 两 个 
步骤 : 被 认证 方 (PPP 客户 端 ) 发 送 认 证 请 求 一 认证 方 (PPP 服务 器 ) 给 出 认证 结果 。 
但 是 它 是 一 种 以 明文 方式 在 线路 上 传输 认证 用 户 名 和 密码 ， 所 以 安全 性 不 高 。 

PAP 认证 可 以 在 一 方 进行 ， 即 仅 由 一 方 对 另 一 方 的 身份 进行 认证 ， 通 音 是 是 由 PPP 
服务 器 对 PPP 客户 端 进行 认证 ; 也 可 以 进行 双向 身份 认证 ， 也 就 是 既 要 PPP 服务 器 对 
PPP 客户 端 进行 认证 , PPP 客户 端 也 需要 对 PPP 服务 器 进行 认证 , 以 确保 用 于 认证 的 PPP 
服务 器 是 合法 的 。 如 果 是 双 回 认证 ， 则 要 求 被 认证 的 双方 都 要 通过 对 方 的 认证 程序 ， 否 
则 无 法 在 双方 之 间 建 立 通信 链 路 。 

下 面 以 单 癌 认证 为 例 介绍 PAP 认证 过 程 ， 如 图 1-15 所 示 。 但 要 注意 的 是 ，PAP 认 
证 是 由 被 认证 方 (PPP 客户 端 ) 首先 发 起 的 。 

PPP 客户 端 


PPP 服务 器 














. 
. 
i 


i 
i 
nm 


1-15 ”PAP 身份 认证 的 两 次 握手 


(1) 发 起 PPP 连接 的 客户 端 〈 被 认证 方 ) 首先 以 明文 方式 向 PPP 服务 器 端 发 送 一 个 
认证 请 求 〈Authenticate-Request) 帧 ， 其 中 就 包括 用 于 身份 认证 的 用 户 名 和 密码 ; 

(2) PPP 服务 器 疹 《认证 方 ) 在 收 到 客户 端 发 来 的 认证 请 求 帧 后 ， 先 查看 PPP 服务 
锅 本 地 配置 的 用 户 账 户 数据 库 ， 看 是 否 有 客户 端 提供 的 用 户 名 (这 个 用 户 账户 数据 库存 
必须 先 在 PPP 服务 器 端 配置 好 )。 如 果 有 ， 且 对 应 的 用 户 账 户 密码 也 一 致 ， 则 表明 客户 
病 具 有 合法 的 用 户 账户 信息 ， 同 PPP 客户 端 返回 一 个 认证 确认 (Authenticate-ACK) 帧 ， 
表示 认证 成 功 ， 则 该 用 户 可 以 与 PPP 服务 器 端 建立 PPP 连接 。 

如 条 在 本 地 数据 库 中 找 不 到 与 客户 端 发 来 的 用 户 名 一 致 的 用 户 账户 ， 或 者 虽然 有 相 
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同名 称 的 用 户 账 户 ， 但 密码 不 一 致 ， 则 会 认证 失败 ， 返 回 一 个 认证 拒绝 (Authenticate- 
NAK) 帧 ， 客 户 端 也 不 能 与 PAP 服务 器 端 建立 PPP 连接 。 






”如 果 第 一 次 认证 失败 , 并 不 会 马上 将 链 路 关闭 , 而 是 会 在 PAP 客户 端 提示 可 以 尝 
起 以 新 的 用 户 账户 信息 进行 再 次 认证 ， 只 有 当 认 证 不 通过 的 次 数 达 到 一 定 值 ( 缺 省 为 4) 
时 才 会 关闭 链 路 ， 以 防止 因 误 传 、 网 络 干扰 等 造成 不 必要 的 LCP 重新 协商 过 程 。 

以 上 介绍 的 是 PAP 单 向 认证 过 程 ， 仪 两 步 (一 问 一 答 形式 )， 很 简单 。PAP 双向 认 
证 过 程 与 单 向 认证 过 程 类 似 ， 只 不 过 此 时 PPP 链 路 的 两 端 是 同时 具有 客户 端 和 服务 器 双 
重 角色 ， 任 何 一 端 都 癌 对 方 发 送 认 证 请 求 ， 同 时 对 对 方 发 来 的 认证 请 求 进行 认证 。 


1.4.2 CHAP 协议 报 文 格式 及 身份 认证 原理 


本 节 具 体 介绍 CHAP 认证 报 文 的 格式 和 基本 的 认证 原理 。 虽 然 以 下 内 容 是 针对 PPP 
协议 进行 介绍 的 ， 但 同时 适用 于 PPP 协议 的 扩展 协议 ， 如 PPTP 和 L2TP 协议 。 

1. CHAP 报 文 格式 

CHAP 协议 也 是 PPP 协议 簇 中 的 一 个 ， 是 用 于 进行 喘 份 认证 的 ， 也 与 PPP 协议 一 样 
位 于 数据 链 路 层 ， 但 在 PPP 协议 之 上 ， 其 报 文 也 要 受到 PPP 协议 封装 ， 对 应 的 协议 号 为 
0xC223。CHAP 报 文 格式 与 PAP 协议 报 文 格 式 一 样 ， 参 见 图 1-14。 但 各 字段 的 含义 有 所 
区 别 ， 有 具体 说 明 如 下 。 

。 Code: 报 文 代码 ，8 字 节 ， 用 于 识别 PAP 报 文 类 型 ，1 为 Challenge (质询 )，2 
为 Response《 啊 应 )，3 为 Success 《认证 成 功 )，4 为 Failure〈 认 证 失败 )。 

e Identifier: 报 文 标识 符 ，8 字 节 ， 类 似 于 报 文 序列 号 ， 同 一 组 认证 进程 下 的 各 类 
报 文 标识 符 一 致 。 

e Length: 长 度 ，16 字 节 ， 以 字 节 为 单位 标识 整个 CHAP 报 文 (包括 本 字段 〉 的 
长 度 。 

e Data: 数据 ， 长 度 可 变 ， 有 具体 内 容 会 因 CHAP 报 文 类 型 的 不 同 而 不 同 ，Success 
和 Failure 报 文 中 该 字段 身份 认证 成 功 或 失败 的 的 一 段 文本 说 明 信 息 ; Challenge 报 文中 
该 字段 为 主 认 证 方 发 送 被 认证 方 的 随机 MD5 摘要 消息 ，Response 报 文中 该 字段 为 被 认 
证 方 发 给 主 认 证 方 的 一 个 经 过 MD5 加 密 的 Hash〈 哈 希 ) 值 。 

2. CHAP 身份 认证 原理 

CHAP 协议 的 身份 认证 过 程 相 对 前 面 介绍 的 PAP 认证 来 说 更 为 复杂 ， 采 用 的 是 三 次 
握手 机 制 ( 而 不 是 PAP 中 的 两 次 握手 机 制 )， 整 个 认证 过 程 要 经 过 三 个 主要 步骤 : 认证 
方 (PPP 服务 器 ) 要 求 被 认证 方 (PPP 客户 端 ) 提供 认证 信息 一 被 认证 方 提 供认 证 信息 
一 认证 方 给 出 认证 结果 。 

其 次 ，CHAP 身份 认证 方式 相对 PAP 认证 方式 来 说 更 加 安全 ， 因 为 在 认证 过 程 中 ， 
用 于 认证 的 密码 不 是 直接 以 明文 方式 在 网 络 上 传输 的 〈 用 户 名 仍 是 以 明文 方式 传输 )， 而 
是 封装 在 MD5 加 密 摘 要 信息 中 ， 更 加 安全 。CHAP 认证 的 具体 步骤 还 与 认证 方 是 否 配 
置 了 用 户 名 有 有关， 推荐 使 用 验证 方 配置 用 户 名 的 方式 ， 这 样 被 认证 方 也 可 以 对 认证 方 的 
身份 进行 确认 ， 相 当 于 PPP 客户 端 对 PPP 服务 器 的 身份 也 可 以 进行 认证 。 
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同 PAP 认证 一 样 ，CHAP 认证 也 可 以 是 单 向 或 者 双 同 的 。 如 果 是 双 同 认证 ， 则 要 来 
通信 双方 均 要 通过 对 对 方 请 求 的 认证 ， 否 则 无 法 在 双方 建立 PPP 链 路 。 在 此 ， 我 们 仍 以 
单 向 认证 为 例 介绍 CHAP 认证 流程 。 具体 如 图 1-16 所 示 , 但 要 注意 ，CHAP 喘 份 认证 前 
先是 由 PPP 服务 器 站 主动 发 起 质询 的 。 

被 认证 广 认证 广 





图 1-16 CHAP 身份 认证 的 三 次 握手 


(1) 当 PPP 客户 端 要 与 PPP 服务 器 建立 连接 , 并 且 配 置 采 用 CPAP 喘 份 认证 方式 时 ， 
PPP 服务 器 (认证 方 ) 会 首先 向 PPP 客户 〈 被 认证 方 ) 端 发 送 一 个 随机 报 文 〈 如 果 认 证 
方 配置 了 用 户 名 ， 则 还 随同 发 送 认 证 方 的 用 户 名 ) 进行 “质询 ”(Challenge， 也 称 “ 挑 
战 ”), 询问 客户 端 用 于 身份 认证 的 账户 信息 。 同时 这 个 发 送 的 随机 报 文 会 保存 在 缓存 中 。 

(2) PPP 客户 端 在 收 到 服务 器 端 发 来 的 质询 消息 后 ， 如 果 随 机 报 文中 包括 了 PPP 服 
务 器 的 用 户 名 , 则 先 看 本 地 是 否 配置 了 PPP 服务 器 的 账户 信息 对 PPP 的 身份 进行 认证 (如 
果 收 到 的 随机 报 文 中 不 包括 PPP 服务 器 的 用 户 账户 信息 , 则 不 需要 对 PPP 服务 器 身份 进 
行 认 证 )， 认 证 通过 后 再 把 所 收 到 的 随机 质询 报 文 与 PPP 客户 端 配置 的 账户 密码 〈 相 当 
于 MD5 算法 中 所 说 的 “共享 密 钥 ”) 采用 MD5 算法 进行 加 密 ， 将 生成 的 MD5 摘要 密 文 
和 目 己 的 用 户 名 发 回 PPP 服务 器 进行 啊 应 〈Response )。 

(3) PPP 服务 器 端 在 收 到 来 自 客户 端的 啊 应 后 ， 首 先 直 接 利 用 来 自 PPP 客户 端的 明 
文 用 户 账户 名 在 本 地 数据 库 中 进行 查找 ， 如 果 找 不 到 该 账户 ， 则 直接 认证 为 认证 失败 ; 
如 果 在 本 地 数据 库 中 有 该 用 户 账户 就 可 以 得 到 本 地 配置 的 该 账户 的 密码 ， 然 后 再 利用 所 
租 到 的 该 账 忆 密码 与 原来 发 送 给 客户 端 ， 并 且 在 缓存 中 保存 的 随机 质询 报 文 进行 同样 的 
MD5 哈 希 计算 ， 看 最 终 的 结果 与 来 自 PPP 客户 端的 MD5 哈 希 报 文 进行 比较 。 

如 有 果 两 个 MD5 哈 硕 报 文 完全 一 臻 《如果 本 地 配置 的 该 账户 密码 与 在 PPP 客户 端 配 
置 的 一 样 ， 则 肯定 一 致 ， 因 为 此 时 进行 哈 希 计 算 时 的 MD5 报 文 和 密码 都 是 一 样 的 )， 则 
认为 PPP 客户 病 具 有 合法 的 用 户 账户 信息 ， 认 证 通过 ， 同 PPP 客户 端 发 送 认证 成 功 
(Sucess) 帧 ， 成 功 进 行 PPP 连接 ; 否则 表示 认证 失败 ， 疝 PPP 客户 端 发 送 认 证 失败 
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(Failure) 帧 ， 不 能 建立 PPP 连接 。 
与 PAP 一 样 ， 第 一 次 认证 失败 后 ， 也 不 会 马上 关闭 链 路 ， 而 是 再 次 向 客户 端 提示 输 
入 新 的 用 户 名 和 密码 进行 再 次 认证 ， 直 到 规定 的 最 高 尝试 次 数 。 


1.4.3 ”身份 认证 算法 


在 一 些 三 层 VPN 解决 方案 中 ， 还 涉及 到 许多 用 于 生成 身份 认证 密 钥 的 算法 ， 如 在 
IPSec VPN 中 使 用 的 AH 和 ESP 安全 协议 就 支持 多 种 认证 算法 ， 如 华为 设备 支持 的 MD5、 
SHA1、SHA2 (包括 sha2-256、sha2-384、sha2-512)、SM3、 AES-XCBC-MAC-96, 这 . 
些 其 实 都 是 属于 哈 希 ， 摘 要 ， 或 者 杂凑 算法 。 

在 这 些 算 法 中 都 需要 用 到 一 些 特定 的 函数 运算 方法 ， 这 些 函 数 的 名 称 也 对 应 有 多 
种 ， 如 “ 哈 锅 (Hash 函数”， 或 “ 消 明 摘要 函数 ”“ 杂 凑 函 数 ”“ 单 向 散 列 函 数 ”， 这 些 
函数 运算 的 基本 设计 思想 是 将 输入 的 任意 长 度 消 息 ， 通 过 运算 后 得 到 一 个 固定 长 度 的 输 
出 值 。 这 个 输出 值 也 就 对 应 称 之 为 “ 哈 希 值 ” 或 “消息 摘要 ”“ 杂 凌 值 ?>“ 散 列 值 ” 等 。 
这 个 消息 摘要 会 随同 消息 一 起 发 送 到 对 方 ， 对 方 再 用 相同 的 摘要 算法 对 所 接收 的 消息 数 
据 进行 运算 ， 看 结果 是 否 与 随同 消息 一 起 发 送 、 在 源 端 得 出 的 摘要 相同 ， 如 果 相 同 ， 则 
表示 消息 数据 在 传输 过 程 中 没有 被 和 修改， 可 以 放心 使 用 ;， 不同， 则 表示 消息 数据 在 传输 
过 程 中 被 非法 算 改 ， 不 可 用 。 

哈 希 函数 〈 或 杂凑 函数 ) 可 以 按 其 是 否 有 密 钥 参与 运算 分 为 “不 带 密 钥 的 哈 希 函 数 ” 
和 “和 带 密 钥 的 哈 希 疯 数 ”。 不 带 密 钥 的 哈 希 函 数 在 运算 过 程 中 没有 密 钥 参与 ， 只 有 原始 消 
息 输 入 。 这 类 哈 希 函 数 不 具 有 身份 认证 功能 ,， 仅 提供 数据 完整 性 检验 ， 称 之 为 MDC ( 算 
改 检 测 码 )。 而 带 密 钥 的 哈 希 函数 在 消息 的 运算 过 程 中 是 有 密 钥 参与 的 ， 即 哈 希 值 (或 杂 
凑 值 ) 同时 与 密 钥 和 原始 消 奶 的 输入 有 关 , 只 有 拥有 密 钥 的 人 才能 计算 出 相 就 的 哈 希 值 。 
所 以 带 密 钥 的 哈 希 函数 不 仅 能 检测 数据 完整 性 , 还 能 提供 身份 认证 功能 , 被 称 之 为 MAC 
(消息 认证 码 )。 现 在 通常 是 采用 带 密 钥 的 哈 希 函数 。 

本 章 后 续 将 对 这 些 主要 身份 认证 算法 工作 原理 进行 分 别 介绍 。 


1.5 加密、 数字 信封 、 数 字 签 名 和 数字 证 书 原理 


在 VPN 通信 中 ， 为 了 对 在 隧道 中 传输 的 数据 进行 安全 保护 ， 对 数据 发 送 者 身份 进 
行 合法 性 验证 ,往往 采用 了 包括 加 密 、 数 字 信 封 、 数 字 签 名 和 数字 证 书 等 多 种 保护 技术 。 
本 节 承 集中 介绍 这 几 种 安全 技术 的 基本 工作 诛 理 。 


1.5.1 加密 工 作 原 理 


最 原始 的 数据 传输 方式 就 是 明文 传输 。 所 谓 “ 明 文 ”就 是 输入 什么 在 文件 中 最 终 也 
显示 什么 ， 别 人 获取 到 文件 后 就 知道 里 面 的 全 部 内 容 了 。 很 显然 ， 这 种 数据 传输 方式 很 
不 安全 ， 被 非法 截取 后 ， 什 么 者 暴露 了 。 

随后 就 有 了 加 密 传输 的 理念 及 相应 的 技术 了 ， 对 原始 的 明文 数据 进行 加 密 ， 加 密 后 
生成 的 数据 称 之 为 “ 密 文 密 文 与 明文 最 大 的 区 别 就 是 打 乱 了 原来 明文 数据 中 字符 的 顺 
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序 ， 甚 至 生成 一 堆 非 字 符 信 息 (通常 称 之 为 “乱码 ”)， 其 目的 就 是 让 非法 获取 者 看 不 履 
里 面 真实 的 数据 内 容 ， 这 样 即使 数据 被 非法 截取 了 ， 对 方 也 看 不 懂 里 面 到 底 是 讲 什 么 ， 
自然 就 没 用 了 。 

加 密 有 两 种 方式 ， 对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 ， 下 面 分 别 予 以 介绍 。 

1 对称 密 钥 加 密 原 理 

在 加 密 传输 中 最 初 是 采用 对 称 密 钥 方式 ， 也 就 是 加 密 和 人 解密 都 用 相同 的 密 钥 。 对 称 
密 钥 的 加 /解密 过 程 如 图 1-17 所 示 。 甲 与 乙 要 事先 协商 好 对 称 密 钥 ， 有 具体 加 解密 过 程 如 
下 (对 应 图 中 的 数学 序号 ): 

Q) 甲 使 用 对 称 密 钥 对 明文 加 密 ， 并 将 密 文 发 送 给 乙 。 

@) 乙 接收 到 密 文 后 ， 使 用 相同 的 对 称 密 钥 对 密 文 解密 ， 还 原 出 最 初 的 明文 。 


甲 (发 送 方 ) es 
™ 





Sri 








em FIC lL WOrd ”Ei 
(明文 ) | -en 
加 密 ~ 加 一 一 加 Ee 
1 = 
Ee Qki(d5$6In 


( 密 文 ) 
图 1-17 对 称 密 钥 加 /解密 过 程 示意 


以 上 就 是 对 称 密 钥 加 /解密 原理 ， 就 两 步 ， 很 简单 。 所以， 对 称 密 钥 加 密 的 优点 是 效 
率 高 ， 算 法 简单 ， 系 统 开 销 小 ， 适 合 加 密 大 量 数据 。 其 缺点 主要 体现 在 安全 性 差 和 扩展 
性 差 。 

安全 性 差 的 原因 在 于 进行 安全 通信 前 需要 以 安全 方式 进行 密 钥 交换 (相互 协商 使 用 
一 人 致 的 密 钥 ), 否则 被 人 截取 后 就 碎 烦 了 ,别人 也 可 以 看 到 你 的 机 密 文 件 ; 扩展 性 差 表 现 
在 每 对 通信 用 户 之 间 都 需要 协商 密 钥 , n 个 用 户 的 团体 就 需要 协商 n*(n-1)/2 个 不 同 的 密 
钥 ， 不 便于 管理 ， 而 如 果 都 使 用 相同 密 钥 的 话 ， 密 钥 被 泄漏 的 机 率 大 大 增加 ， 加 密 也 吏 
内 夫 了 总 义 s 

目前 比较 常 强 的 对 称 密 钥 加 和 密 算法 ， 主 要 包含 DES、3DES、AES 算法 ， 这 些 算法 
将 在 本 章 后 续 进 行 介绍 。 

2. 非 对 称 密 钥 加 密 原 理 

正 因为 对 称 密 钥 加 密 方 法 也 不 是 很 安全 ， 于 是 出 现 了 一 种 称 之 为 “ 非 对 称 密 钥 ”加 
密 〈 也 称 公 钥 加 密 ) 方法 。 所 谓 非 对 称 密 钥 加 密 是 指 加 密 和 解密 用 不 同 的 密 铀 ， 其 中 一 
个 称 之 为 公 钥 ， 可 以 对 外 公开 ， 通 常用 于 数据 加 密 ， 男 一 个 相对 称 之 为 私 钥 ， 是 不 能 和 
外 公布 的 ， 通 常用 于 数据 解密 。 而 且 公 / 私 钥 必须 成 对 使 用 ， 也 就 是 用 其 中 一 个 密 钥 加 密 
的 数据 只 能 由 与 其 配对 的 另 一 个 密 钥 进行 解密 。 这 样 用 公 钥 加 密 的 数据 即使 被 人 非法 截 
取 了 ， 因 为 他 没有 与 之 配对 的 私 铀 〈 私 钥 仅 发 送 方 自 己 拥 有 )， 也 不 能 对 数据 进行 解密 ， 
确保 了 数据 的 安全 。 
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非 对 称 密 钥 加 /解密 的 过 程 如 图 1-18 所 示 。 甲 要 事先 获得 乙 的 公 钥 ， 具 体 加 /解密 过 
程 如 下 (对 应 图 中 的 数字 序号 ); 


甲 乙 ( 接 收 方 ) 
| 四 


(BS . 乙 的 公 钥 - 乙 的 私 角 [1 


(明文 ) Hell,Word 
W/ (明文 ) 
2 | 
解密 


es 加 密 [SS Sy EPE i . 

&ki(d5$6ln 

( 密 文 ) 
1-18 非 对 称 密 钥 加 /解密 过 程 示意 


(DD 甲 使 用 乙 的 公 钥 对 明文 加 密 ， 并 将 密 文 发 送 给 乙 。 

@ 乙 收 到 密 文 后 ， 使 用 自己 的 私 钥 对 密 文 解密 ， 得 到 最 初 的 明文 。 

非 对 称 密 钥 的 加 /解密 过 程 看 似 也 很 简单 ， 两 步 就 可 以 实现 了 , 但 事 要 先 不 仅 要 双方 
获取 目 己 的 非 对 称 密 钥 ,还 要 双方 把 自己 的 公 钥 告诉 对 方 。 当 然 ， 非 对 称 密 钥 加 /解密 方 
式 的 主要 优点 不 是 体现 在 其 过 程 简单 ， 而 是 它 具 有 比 对 称 密 钥 加 /解密 方式 更 高 的 安全 
性 ， 因 为 加 密 和 解密 用 的 是 不 同 密 钥 ， 而 且 无 法 从 一 个 密 钥 推导 出 另 一 个 密 钥 ， 且 公 钥 
加 密 的 信息 只 能 用 同一 方 的 私 钥 进 行 解密 。 

非 对 称 密 钥 加 密 的 缺点 是 算法 非常 复杂 ， 导 人 致 加 密 大 量 数 据 所 用 的 时 间 较 长 ， 而 且 
由 于 在 加 密 过 程 中 会 添加 较 多 附加 信息 , 使 得 加 密 后 的 报 文 比较 长 , 容易 造成 数据 分 片 ， 
不 利于 网 络 传输 。 

非 对 称 密 钥 加 密 适合 对 密 钥 或 身份 信息 等 敏感 信息 加 密 ， 从 而 在 安全 性 上 满足 用 户 
的 需求 。 目 前 比较 常用 的 非 对 称 密 钥 加 密 算法 主要 有 DH (Diffie-Hellman)、RSA (Ron 
Rivest、Adi Shamirh、LenAdleman， 这 是 三 个 人 的 名 字 中 的 第 一 个 字母 ) 和 DSA (Digital 
Signature Algorithm， 数 字 签 名 算法 ) 算法 。 


1.5.2 ”数字 信封 工作 原理 


数字 信封 是 指 发 送 方 使 用 接收 方 的 公 钥 来 加 密 对 称 密 钥 后 所 得 的 数据 ， 其 目的 是 用 
来 确保 对 称 密 钥 传输 的 安全 性 。 采 用 数字 信封 时 ， 接 收 方 需要 使 用 目 己 的 私 钥 才能 打开 
数字 信封 得 到 对 称 密 钥 。 

数字 信封 的 加 /解密 过 程 如 图 1-19 所 示 。 甲 也 要 事先 获得 乙 的 公 钥 ， 有 具体 说 明 如 下 
(对 应 图 中 的 数字 序号 ): 

Q) 甲 使 用 对 称 密 钥 对 明文 进行 加 密 ， 生 成 密 文 信息 ; 

@ 甲 使 用 乙 的 公 钥 加 密 对 称 密 钥 ， 生 成 数字 信封 ; 

@) 甲 将 数字 信封 和 密 文 信息 一 起 发 送 给 乙 ; 

4) 乙 接收 到 甲 的 加 密 信息 后 ， 使 用 自己 的 私 钥 打开 数字 信封 ， 得 到 对 称 密 铀 ; 

@@ 乙 使 用 对 称 密 钥 对 密 文 信息 进行 解密 ， 得 到 最 初 的 明文 。 
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人 乙 ( 接 收 方 ) 





© | 
: 加 密 wg” 二 一 加 一 一 
Hell, Word Hell, Word 





《明文 ) (明文 ) 





4152*9) 
(数字 信封 ) 





Zi 4 销 - 乙 的 私 铀 
图 1-19 ”数字 信封 的 加 解密 过 程 示意 


从 加 /解密 过 程 中 可 以 看 出 ， 数 字 信 封 拷 术 结 合 了 对 称 密 钥 加 密 和 公 钥 加 密 的 优 扣 ， 
解决 了 对 称 密 钥 的 发 布 安全 问题 ， 和 公 钥 加 密 速 度 慢 问 题 ， 提 高 了 安全 性 、 扩 展 性 和 效 
率 等 。 但 是 ， 数 字 信 封 技 术 还 是 有 一 个 比较 大 的 问题 ， 那 就 是 无 法 确保 信息 是 来 目 真正 
的 对 方 。 

试想 一 下 如 末 攻 击 者 拦截 甲 发 给 乙 的 信息 ， 用 目 己 的 对 称 密 钥 加 密 一 份 伪造 的 信 
恩 ， 并 用 乙 的 公 钥 (攻击 者 已 获知 了 乙 对 外 公开 的 公 钥 〉 加 密 攻 击 者 目 己 的 对 称 密 钥 ， 
生成 数字 信封 ， 然 后 把 伪造 的 加 密 信 息 ， 以 及 伪造 的 数字 信封 一 起 发 送 给 乙 。 乙 收 到 加 
密 信息 后 ， 用 目 己 的 私 钥 可 以 成 功 解密 数字 信封 ， 再 利用 还 原 出 的 对 称 密 钥 〈 这 个 是 攻 
击 者 的 对 称 公 钥 〉 即 可 还 原 出 加 密 的 明文 信息 了 ， 这 样 一 来 乙 则 始终 认为 这 份 本 来 是 攻 
击 者 伪造 的 信息 是 甲 发 送 的 信息 。 这 样 的 结局 可 能 是 损失 惨重 ， 如 攻击 者 修改 了 甲 发 给 
己 的 投标 书 标 等 。 

此 时 ， 需 要 一 种 方法 确保 接收 方 收 到 的 信息 就 是 指定 的 发 送 方 发 送 的 ， 这 就 用 到 下 
节 将 要 介绍 的 数字 签名 技术 。 


1.5.3 ”数字 等 名 工作 原理 


数字 签名 是 指 发 送 方 用 目 己 的 私 钥 对 数字 指纹 进行 加 密 后 所 得 的 数据 ， 其 中 包括 非 
对 称 密 钥 加 密 和 数字 签名 两 个 过 程 ， 在 可 以 给 数据 加 密 的 同时 ， 也 可 用 于 接收 方 验 证 发 
送 方 身 份 的 合法 性 。 采 用 数字 签名 时 ， 接 收 方 需要 使 用 发 送 方 的 公 钥 才能 解 开 数字 签名 
得 到 数字 指纹 。 

数字 指纹 又 称 为 信息 摘要 ,是 指 发 送 方 通过 HASH 算法 对 明文 信息 计算 后 得 出 的 数 
据 。 采 用 数字 指纹 时 ， 发 送 方 会 将 本 端 对 明文 进行 哈 希 运算 后 生成 的 数字 指纹 (还 要 经 过 
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数字 签名 )， 以 及 采用 对 端 公 钥 对 明文 进行 加 密 后 生成 的 密 文 一 起 发 送 给 接收 方 , 接收 方 
用 同样 的 HASH 算法 对 明文 计算 生成 的 数据 指纹 ， 与 收 到 的 数字 指纹 进行 匹配 ， 如 果 一 
致 ， 便 可 确定 明文 信息 没有 被 算 改 。 

数字 签名 的 加 解密 过 程 如 图 1-20 所 示 。 甲 也 要 事先 获得 乙 的 公 钥 , 具体 说 明 如 下 (对 
应 图 中 的 数字 序号 ): 

QD 甲 使 用 乙 的 公 钥 对 明文 进行 加 密 ， 生 成 密 文 信息 ; 

@) 甲 使 用 HASH 算法 对 明文 进行 HASH 运算 ， 生 成 数字 指纹 ; 

(3) 甲 使 用 自己 的 私 钥 对 数字 指纹 进行 加 密 ， 生 成 数字 签名 ; 

由 甲 将 密 文 信息 和 数字 签名 一 起 发 送 给 乙 ; 

@@ 乙 使 用 甲 的 公 钥 对 数字 签名 进行 解密 ， 得 到 数字 指纹 ; 

@ 乙 接收 到 甲 的 加 密 信息 后 ， 使 用 自己 的 私 钥 对 密 文 信息 进行 解密 ， 得 到 最 初 的 
明文 ; 

@ 乙 使 用 HASH 算法 对 还 原 出 的 明文 用 与 甲 所 使 用 的 相同 HASH 算法 进行 HASH 
运算 ， 生 成 数字 指纹 。 然 后 乙 将 生成 的 数字 指纹 与 从 甲 得 到 的 数字 指纹 进行 比较 ， 如 果 
一 致 ， 乙 接受 明文 ， 如 果 不 一 致 ， 乙 丢弃 明文 。 

用 (发 送 方 ) 乙 ( 接 收 方 ) 





乙 的 私 钥 
(©) 
有 二 
5 吉 密 解密 -加 
(明文 ) (明文 ) 

















~ &3|12*9) " &4|52*9) 解密 &3|12*9) &3|12*9) 
( 数字 指纹 ) 个 ( 数字 签名 ) (数字 指纹 )( 数字 指纹 ) 





时 受 明 IAN 
甲 的 私 钥 甲 的 公 钥 te 


图 1-20 ”数字 签名 的 加 解密 过 程 示意 


从 以 上 数字 签名 的 加 /解密 过 程 中 可 以 看 出 ， 数 字 签 名 技术 不 但 证 明了 信息 未 被 自 
改 ， 还 证 明了 发 送 方 的 身份 。 数 字 签名 和 数字 信封 技术 也 可 以 组 合 使 用 。 但 是 ， 数 字 签 
名 技术 存在 一 个 问题 ， 获 取 到 对 方 的 公 钥 可 能 被 算 改 ， 并 且 无 法 发 现 。 

试想 一 下 ， 如 果 攻 击 者 一 开始 就 截获 了 乙 发 给 甲 公 钥 的 文件 ， 然 后 就 可 用 狸猫 换 太 
子 的 方法 更 改 乙 的 公 铀 ， 最 终 可 能 导致 甲 获得 的 是 攻击 着 的 公 钥 ， 而 非 乙 的 。 

具体 过 程 是 这 样 的 : 攻击 者 拦截 了 乙 发 给 甲 的 公 钥 信息 ， 用 目 己 的 私 钥 对 伪造 的 公 
钥 信 息 进 行 数 字 签名 ， 然 后 与 使 用 甲 的 公 钥 〈 攻 击 者 也 已 获知 了 甲 对 外 公开 的 公 铀 ) 进 
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行 加 密 的 、 伪 造 的 乙 的 公 钥 信息 一 起 发 给 甲 。 甲 收 到 加 密 信 息 后 ， 利 用 目 己 的 私 钥 可 以 
成 功 解 密 出 得 到 的 明文 (伪造 的 乙 的 公 钥 信息 ), 因为 这 个 信息 的 加 密 就 是 用 甲 的 公 钥 进 
行 的 ， 并 且 也 可 以 通过 再 次 进行 HASH 运算 验证 该 明文 没有 被 算 改 。 此 时 ， 甲 则 始终 认 
为 这 个 信息 是 乙 发 送 的 ， 即 认为 该 伪造 的 公 钥 信息 就 是 乙 的 ， 结 果 甲 再 利用 这 个 假 的 乙 
的 公 钥 进行 加 密 的 数据 发 给 乙 时 ， 乙 肯定 是 总 解密 不 了 的 。 此 时 ， 需 要 一 种 方法 确 你 一 
个 特定 的 公 钥 属于 一 个 特定 的 拥有 者 ， 那 就 是 数字 证 书 技术 了 。 因 为 用 户 接 收 到 其 他 用 
户 的 公 钥 数字 证 书 时 可 以 在 证 书 颁 发 机 构 碍 询 、 验 证 的 。 

【经 验 之 谈 〗 许 多 人 分 不 清 非 对 称 密 钥 加 密 和 数字 签名 的 区 别 ， 其 实 很 好 理解 。 非 对 
称 加 密 用 的 是 接收 方 的 公 钥 进行 数据 加 密 的 ， 密 文 到 达 对 方 后 也 是 通过 接收 方 自己 的 私 角 
进行 解密 ， 还 原 成 明文 ， 整 个 数据 加 密 和 人 解密 过 程 用 的 都 是 接收 方 的 密 钥 ;而 数字 签名 则 
完全 相反 , 是 通过 发 送 方 的 私 钥 进 行 数据 签名 的 ,经 签名 的 数据 到 达 接 收 方 后 也 是 通过 事先 
告知 接收 方 的 发 送 方 的 公 钥 进行 解密 ， 整 个 数据 签名 和 解密 的 过 程 用 的 都 是 发 送 方 的 密 钥 。 


1.5.4 ”数字 证 书 


前 面 所 介绍 的 数据 加 密 、 数 字 信 封 和 数据 签名 都 是 直接 使 用 用 户 的 密 钥 。 但 密 铀 是 
不 包含 有 用 户 身 份 信息 的 ， 也 就 是 密 钥 并 不 具有 绑 定 唯一 用 户 的 特性 ， 这 驶 使 得 仅 通 过 
密 钥 是 无 法 真正 确保 发 送 、 接 收 双 方 喘 份 的 合法 性 。 

数字 证 书 实际 上 是 存 于 计算 机 上 的 一 个 记录 ， 是 由 CA《 证 书 颁 发 机 构 ) 签发 的 一 
个 声明 ,证 明证 书 主体 (证 书 申请 者 拥有 了 证 书后 即 成 为 证 书 主体 ) 与 证 书 中 所 包含 的 公 
钥 的 唯一 对 应 关系 。 因 为 在 数字 证 书 中 ， 不 仅 包 括 证 书 申请 者 的 公 钥 ， 还 包括 他 的 名 称 、 
位 置 等 相关 信息 ， 以 及 签发 该 数字 证 书 的 CA 的 数字 签名 及 数字 证 书 的 有 效 期 等 内 容 。 

数字 证 书 的 作用 使 网 上 通信 双方 的 号 份 得 到 了 互相 验证 ， 提 高 了 通信 的 可 靠 性 。 首 
先 会 由 信息 发 送 者 使 用 自己 的 数字 证 书 私 钥 对 信息 进行 加 密 ， 然 后 再 发 给 接收 方 。 接 收 
方 必 须 事先 获取 信息 有 发送 者 的 公 钥 证 书 ， 以 便 对 经 过 发 送 者 私 钥 加 密 的 信息 进行 解密 ， 
同时 还 需要 有 CA 发 送 给 发 送 者 的 证 书 ， 以 便 接收 方 可 验证 发 送 者 的 喘 份 。 

有 关 数 子 证 书 的 详细 介绍 将 在 本 书 第 8 章 进行 介绍 。 


1.6 ”MD5 认证 算法 原理 


MD5 (Message-Digest Algorithm 5， 信 息 摘 要 算法 第 5 版 是 计算 机 广泛 使 用 的 敌 
列 算法 〈 也 称 “ 哈 希 算法 ”或 “杂凑 算法 汪 之 一 ， 采 用 带 密 钥 的 运算 时 ， 可 同时 用 于 消 
息 完整 性 检测 和 消息 源 身份 认证 。 它 是 由 MD2、MD3 和 MD4 版 本 一 路 发 展 而 来 ， 是 
Ronald Rivest 于 1991 年 设计 发 布 的 ， 用 于 取代 MD4。 


1.6.1 MD5 算法 基本 认证 原理 


尽管 不 同 版 本 的 MD 算法 的 具体 原理 肯定 有 所 区 别 , 但 它们 的 基本 工作 机 制 却 是 一 
样 的 : 都 是 先 在 发 送 问 将 一 个 随机 长 度 的 消息 《在 带 密 钥 运算 的 情况 下 ， 除 包括 原始 消 
息 外 ， 还 要 同时 包括 双方 共 知 的 密 钥 ) 最 终 “压缩 ”( 当 然 ， 这 里 并 不 是 简单 的 压缩 ， 需 
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要 经 过 一 系列 的 各 种 逻辑 运算 ， 以 打 乱 原始 消息 的 次 序 ， 生 成 的 是 一 段 看 不 懂 的 密 文 ) 
成 一 个 128 位 的 消息 摘要 (也 称 哈 希 值 )， 并 随 着 原始 消息 一 起 发 送 。 

原始 消息 ， 连 同 摘 要 消息 一 起 到 了 接收 端 后 ， 再 采用 相同 的 方法 对 所 接收 到 的 原始 
消息 (在 带 密 钥 运算 的 情况 下 ， 还 要 包括 双方 共 知 的 密 钥 ) 进行 “压缩 ”， 看 生成 的 消 居 
摘要 是 否 与 随 着 原始 消息 一 起 发 送 过 来 的 消息 摘要 一 致 ， 一 致 则 认为 所 接收 的 消息 是 完 
整 的 ， 在 传输 途中 没有 被 非法 算 改 。 z 

因为 在 带 密 钥 的 MD5 消息 摘要 的 运算 中 ， 不 是 直接 基于 原始 消息 进行 计算 的 ， 还 
要 与 机 密 的 预 共享 密 钥 〈 采 用 预 共享 密 钥 认证 方法 时 )， 或 者 本 端的 公 钥 〈 采 用 数字 证 书 认 
证 方法 时 ) 结合 起 来 计算 的 ， 而 预 共享 密 钥 和 本 端 公 钥 只 有 发 送 者 和 接收 者 才 知 道 的 ， 所 以 
能 保证 摘要 计算 的 机 密 性 , 产生 独一无二 的 “数字 指纹 ” Rs 息 源 身份 认证 的 目的 。 

大 家 要 注意 ，MD5 摘要 运算 是 不 可 道 的 〈( 即 具有 单 向 性 ， 也 称 之 为 “ 单 疝 密 钥 ”)， 
不 可 通过 摘要 消息 还 原 出 原始 的 消息 。 当 然 ， ee 仅 用 
于 认证 , 不 需要 在 接收 端 进行 数据 还 原 。 也 正 因为 如 此 ，MD5 算法 通常 不 认为 是 一 种 加 
密 算 法 ， 不 具有 解密 能 力 。 

MD5 算法 的 消息 完整 性 验证 和 消息 源 身 份 认 证 的 基本 过 程 可 用 图 1-21 来 描述 。 图 
中 的 “MAC” 就 是 指摘 要 消息 。MDS5 算法 的 总 体 消息 摘要 运算 过 程 如 下 : 





图 1-21 MAC 类 算法 基本 工作 原理 示意 


(1) 把 包括 密 钥 和 初始 消息 在 内 的 二 进 制 比特 串 《〈 假 设 称 之 为 “原始 消息 ”7)， 以 及 
位 于 最 后 位 置 、 新 增 的 用 于 记录 要 原始 消息 (包括 密 钥 和 初始 消息 ) 的 二 进 制 64 位 长 度 
一 起 被 划分 成 一 个 个 的 512 位 (16 个 32 位 字 长 ) 的 块 ; 





“虽然 理论 来 说 MD5 算法 可 以 计算 的 消息 长 度 是 任意 的 ， 即 不 受 限 制 的 ， 但 是 由 
i 息 长 度 的 二 进 制 位 只 有 64 位 ， 所 以 实际 上 它 也 最 多 只 能 计算 2 位 的 消息 。 

果 消 息 长 度 超过 这 个 值 ， 则 只 会 对 低 2” 位 的 消息 进行 计算 。 

(2) 这 些 512 位 的 块 再 经 过 多 轮 “ 与 ”(And)、“ 或 ”(OR)、“ 非 ”CNOT)、“ 异 或 ” 
(AOR) 逻辑 算法 (具体 算法 我 们 可 以 不 做 了 解 ) 处理， 最 终 会 输出 四 个 32 位 分 组 ， 将 
这 四 个 32 位 分 组 级 联 后 将 生成 一 个 128 位 散 列 值 〈 消 息 摘 要 )。 

1.6.2 ” MDS5 算法 消息 填充 原理 


上 节 介 绍 的 只 是 理想 情况 下 的 基本 运算 原理 ， 其 实 这 里 涉及 到 一 个 非常 重要 的 “ 填 
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充 ” 操 作 ， 因 为 大 多 原始 数 消息 ,加 上 用 于 表示 原始 消息 长 度 的 64 位 后 可 能 仍 不 能 恰好 
被 512 整除 ， 也 就 是 原始 消息 的 二 进 制 位 数 除 以 512 后 的 余数 不 是 488 〈512--64=448 )。 
这 时 就 表明 需要 对 原始 消息 进行 填充 处 理 了 。 这 里 又 有 两 种 情况 : 一 是 余数 小 于 448， 
另 一 种 就 是 余数 大 于 448。 

e。 如 果 原 始 消息 二 进 制 位 数 除 以 512 后 的 余数 小 于 448， 则 先 在 原始 消息 的 最 后 一 
个 512 位 块 的 最 后 填充 一 个 1， 然 后 再 填充 若干 位 0， 使 得 该 块 的 原始 消息 总 长 度 等 于 
448 位 ， 然 后 加 上 用 于 标识 原始 消息 长 度 的 64 位 ， 正 好 形成 一 个 512 位 的 块 。 

如 一 个 有 600 位 的 消息 ， 则 可 划分 成 两 个 512 位 的 块 : 第 一 个 块 是 512 位 全 部 为 原 

台 消 息 ; 第 二 个 块 中 有 88 位 原始 消息 ， 然 后 进行 填充 : 先 在 最 后 填充 1 位 “1”， 再 填充 
359 位 “0”， 使 得 88 位 原始 信息 +1 位 1+359 位 0=448 位 ， 最 后 再 附 上 64 位 用 于 标识 原 
始 信 息 长 度 (600) 的 值 。 

。 如 果 如 果 原 始 消 息 二 进 制 位 数 除 以 512 后 的 余数 大 于 448， 这 时 要 新 增 一 个 512 
位 的 块 了 。 首 先是 在 原始 消息 的 最 后 一 个 512 位 块 的 最 后 填充 一 个 1， 然 后 再 填充 若干 
位 0, 使 得 该 块 的 原始 消息 总 长 度 等 于 512 位 ; 接着 再 新 增 一 个 块 , 前 面 448 位 均 填 充 0， 
再 加 上 用 于 标识 原始 消息 长 度 的 64 位 ， 形 成 新 的 一 个 512 位 块 。 

如 有 一 个 1000 位 的 消息 ， 则 最 终 会 划分 成 三 个 512 位 的 块 : 第 一 个 块 是 512 位 全 部 为 
原始 消息 ; 第 二 个 块 中 有 488 位 原始 消息 ， 然 后 进行 填充 : 先 在 最 后 填充 1 位 “1”， 再 填充 
23 位 “0” 使 得 488 位 原始 信息 +1 位 1+23 位 0=512 位 ; 最 后 是 一 个 新 增 的 块 ， 也 要 进行 
填充 ， 先 在 前 面 填 充 448 位 0， 最 后 再 附 上 64 位 用 于 标识 原始 信息 长 度 (1000) 的 值 。 


1.6.3 MD5 算法 的 主要 应 用 


MD5 除了 应 用 于 各 种 三 层 VPN 通信 的 数据 完整 性 验证 和 消息 源 身 份 认证 外 ， 在 我 
们 在 日 常 IT 应 用 中 也 常见 到 它 的 身影 ， 也 经 常用 于 数字 签名 。 

如 我 们 单单 在 茶 些 软件 下 载 站 点 的 某 软件 信息 中 看 到 其 MD5 值 ， 它 的 作用 就 是 用 
于 在 我 们 下 载 该 软件 后 对 下 载 回来 的 文件 用 专门 的 软件 (如 Windows MD5 Check 等 ) 做 
一 次 MD5 校 验 ， 以 确保 我 们 获得 的 文件 与 该 站 点 提供 的 文件 为 同一 文件 。 利 用 MD5 算 
法 来 进行 文件 校 验 的 方案 被 大 量 应 用 到 软件 下 载 站 、 论坛 数据 库 、 系 统 文件 安全 等 方面 。 

男 外 ，MD5 还 广泛 用 于 操作 系统 的 登陆 验证 上 ， 如 UNIX、 各 类 BSD 系统 登录 密 
码 、 数 字 签 名 等 诸多 方 。 如 在 UNIX 系统 中 用 户 的 密码 是 以 MD5 (或 其 他 类 似 的 算法 ) 
经 Hash 运算 后 存储 在 文件 系统 中 。 当 用 户 登录 的 时 候 , 系统 把 用 户 输入 的 密码 进行 MD5 
Hash 运算 ， 然 后 再 去 和 保存 在 文件 系统 中 的 MD5 值 进行 比较 ， 进 而 确定 输入 的 密码 是 
否 正确 。 通 过 这 样 的 步 又， 系统 在 并 不 知道 用 户 密码 的 明码 的 情况 下 就 可 以 确定 用 户 登 
录 系 统 的 合法 性 。 避 人 免 用 户 的 密码 被 具有 系统 管理 员 权限 的 用 户 知道 


1.7 ”SHA 认证 算法 原理 


SHA (Secure Hash Algorithm， 和 安全 哈 希 算法 ) 主要 适用 于 数字 签名 ， 也 是 一 种 不 可 
逆 的 MAC 算法 ,但 比 MD5 算法 更 加 安全 。 目 前 它 有 三 种 主要 的 版 本 , 即 SHA-0、SHA-1、 
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SHA-2 和 SHA-3。 其 中 SHA-2 和 SHA-3 版 本 中 又 有 多 种 不 同 子 分 类 ， 如 在 SHA-2 中 又 
根据 它们 最 终 所 生成 的 摘要 消息 长 度 的 不 同 又 包括 SHA-224、SHA-256、SHA-384 和 
SHA-512 等 几 种 。 


1.7.1 SHA 算法 基本 认证 原理 


整个 SHA 算法 的 认证 原理 与 前 面 介 绍 的 MDS5 算法 认证 原理 极为 相似 ， 同 样 先 把 原 
人 消 恩 划分 成 固定 长 度 的 块 , 最 后 加 上 用 于 标识 原始 消息 长 度 的 位 (不同 SHA 版 本 中 用 
于 标识 原始 消息 长 度 的 位 数 不 一 样 )， 再 结合 共享 密 钥 〈 可 以 是 共同 设置 的 预 共 享 密 钥 ， 
也 可 以 是 对 端 公 钥 ), 利用 一 系列 的 逻辑 算法 生成 固定 长 度 的 消息 摘 , 用 于 在 接收 端 进 行 
消息 完整 性 验证 和 消息 源 身 份 认 证 。 

在 各 种 版 本 SHA 算法 中 (因为 SHA-3 的 算法 与 其 他 SHA 版 本 的 算法 有 较 大 不 同 ， 
故 在 此 不 作 介绍 )， 进 行 散 列 运 算 时 所 涉及 的 一 些 参数 特性 不 完全 相同 ， 有 具体 如 表 1-4 所 
示 。 从 上 表 可 以 看 出 ，SHA-0、SHA-1 算法 与 MD5 类 似 ， 都 是 把 输入 原始 消息 的 二 进 
制 串 划分 成 512 位 的 块 , 最 后 一 块 的 最 后 64 位 用 于 表示 原始 消息 的 长 度 , 不 足 512 位 时 
也 要 进行 填充 。 

表 1-4 主要 MAC 算法 的 基本 参数 特性 比较 


A \ “| 标识 消息 长 度 位 数 | 运算 
MD mt 
SHA-0 a 
SHA-1 
本 

SHA-2 T 
i 


1.7.2 SHA 算法 消息 填充 原理 


从 上 节 的 介绍 我 们 已 知道 ，SHA 算法 中 在 进行 消息 分 块 时 也 可 能 要 进行 填充 。 其 填 
充 的 方法 与 MD5 算法 一 样 ， 也 是 先 加 1 位 “1”， 然后 填充 若干 位 “0”。。 如 SHA-0 和 
SHA-1 最 后 会 把 划分 和 填充 后 的 消息 与 共享 密 钥 进行 80 轮 的 逻辑 运算 处 理 ， 得 到 一 个 
160 位 的 摘要 消息 。 但 SHA-0 和 SHA-1 仍然 容易 出 现 碰 撞 ( 即 有 可 能 多 个 不 同 消息 运算 
后 得 到 相同 的 摘要 )， 所 以 目前 主要 是 采用 SHA-2 版 本 。 

下 面 仅 以 SHA-512 (也 有 写成 SHA2-256 的 ) 为 例 介绍 其 基本 的 摘要 运算 过 程 。 其 
他 SHA 版 本 的 基本 摘要 算法 类 似 。 

(1) 把 包括 密 钥 和 初始 消息 在 内 的 二 进 制 比特 串 (假设 称 之 为 “原始 消息 ”， 小 于 
2.“”)， 以 及 在 最 后 新 增 一 个 用 于 记录 原始 消息 二 进 制 长 度 的 128 位 一 起 被 划分 成 一 个 个 
1024 位 (32 个 32 位 字 长 ) 的 块 ; 









当 采 用 SHA-512 进行 运算 时 ， 如 果 原 始 消息 长 度 大 于 等 于 2” 时 ， 只 取 前 面 2 -1 
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位 进行 摘要 运算 。 

(2) 同样 再 对 以 上 划分 的 1024 位 的 块 经 过 系列 “与 ”(And)、“ 或 ”(OR)、“ 非 ” 
(NOT)、“ 异 或 ”(AOR) 逻辑 算法 〈 具 体 算 法 我 们 可 以 不 做 了 解 ) 处理 后 ， 输 出 8 个 64 
位 分 组 ， 将 这 8 个 64 位 分 组 级 联 后 将 生成 一 个 512 位 散 列 值 〈 消 息 摘 要 )。 

这 里 同样 涉及 “填充 ”操作 ， 因 为 大 多 数 原 始 消息 〈 包 括 密 钥 和 初始 消息 )， 加 上 
128 位 后 可 能 仍 不 能 恰好 被 1024 整除 ， 也 就 是 原始 消息 的 二 进 制 位 数 除 以 1024 后 的 余 
数 不 是 896 (1024-128=896)， 这 时 就 表明 需要 对 原始 信息 进行 填充 处 理 了 。 但 这 里 同样 
有 两 种 情况 : 一 种 是 余数 小 于 896， 男 一 种 就 是 余数 大 于 896。 

。 如 果 原 始 消息 二 进 制 位 数 除 以 1024 后 的 余数 小 于 896, 则 先 在 原始 消息 的 最 后 一 
个 1024 位 块 的 最 后 填充 一 个 1， 然 后 再 填充 若干 位 0， 使 得 该 块 的 怕 始 消息 总 长 度 等 于 
896 位 ， 然 后 加 上 用 于 标识 原始 消息 长 度 的 128 位 ， 正 好 形成 一 个 1024 位 的 块 。 

如 一 个 有 1500 位 的 消息 ， 则 可 划分 成 两 个 1024 位 的 块 : 第 一 个 块 是 1024 位 全 部 
为 原始 消息 ; 第 二 个 块 中 有 476 位 原始 消息 ， 然 后 进行 填充 : 先 在 最 后 填充 1 位 “1”， 
再 填充 419 位 “0” 使 得 476 位 原始 信息 +1 位 ，1+419 位 ，0=896 位 ， 最 后 再 附 上 128 
位 用 于 标识 原始 信息 长 度 (1500) 的 值 。 

。 如 果 如 果 原 始 消息 二 进 制 位 数 除 以 1024 后 的 余数 大 于 896, 这 时 要 新 增 一 个 1024 
位 的 块 了 。 首 先是 在 原始 消息 的 最 后 一 个 1024 位 块 的 最 后 填充 一 个 1， 然 后 再 填充 若干 
位 0， 使 得 该 块 的 原始 消息 总 长 度 等 于 1024 位 ; 接着 再 新 增 一 个 块 ， 前 面 896 位 均 填 充 
0， 再 加 上 用 于 标识 原始 消息 长 度 的 128 位 ， 形 成 新 的 一 个 1024 位 块 。 

如 有 一 个 1924 位 的 消息 ， 则 最 终 会 划分 成 三 个 1024 位 的 块 : 第 一 个 块 是 1024 位 
全 部 为 原始 消息 ; 第 二 个 块 中 有 900 位 原始 消息 , 然后 进行 填充 : 先 在 最 后 填充 1 位 “1”， 
再 填充 123 位 “0”， 使 得 900 位 原始 信息 +1 位 ，1+123 位 ，0=1024 位 ; 最 后 是 一 个 新 增 
的 块 ， 也 要 进行 填充 ; 先 在 前 面 填充 896 位 0， 最 后 再 附 上 128 位 用 于 标识 原始 信息 长 
度 (1924) 的 值 。 


1.8 SM3 认证 算法 原理 


SM3 密码 杂凑 算法 是 中 国 国家 密码 管理 局 于 2010 年 公布 的 中 国 商 用 密码 杂凑 算法 
标准 (其 实 也 是 哈 希 算法 , 或 者 单 向 散 列 算法 )。 该 算法 由 王小云 等 人 设计 ,消息 分 组 为 
512 位 ， 经 过 填充 和 人 迭代 压缩 ， 生 成 256 位 的 杂 读 值 。 总 体 来 说 ，SM3 算法 的 压缩 函数 
与 SHA-256 的 压缩 函数 具有 相似 结构 ， 但 SM3 密码 杂凑 算法 的 设计 更 加 复杂 。 下 面 简 
单 介 绍 SM3 密码 杂凑 算法 的 消息 填充 和 迭代 压缩 原理 。 


1.8.1 SM3 算法 消息 填充 原理 


在 SM3 密码 杂凑 算法 的 消息 填充 方面 ， 原 始 消息 〈 包 括 密 钥 和 初始 消息 ) 长 度 (7D) 
也 是 要 小 于 2” 位 的 ， 填 充 的 方法 其 实 与 MD5 一 样 ， 也 是 先 在 原始 消息 的 最 后 加 一 位 “1”， 
再 添加 个 “0”， 最 终 要 使 +1+k 除 以 512 后 的 余数 为 448， 取 其 最 小 的 非 负 整数 。 然 
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后 用 一 个 64 位 的 比特 串 标识 原始 消息 的 长 度 /7。 填 充 后 的 消息 M 正 好 是 512 位 的 倍数 。 

下 面 举 一 个 不 带 密 钥 的 SM3 杂凑 算法 消息 填充 的 示例 来 帮助 大 家 理解 .如 一 个 原始 
消息 《本 示例 不 带 密 铀 ,“ 原 始 消息 ”也 即 前 面 的 “初始 消息 ”)” 为 : 01010101111010 
1111010100001， 一 共 27 位 ， 即 三 24。 

。 先 在 原始 的 最 后 加 一 位 “1”， 这 时 一 共 就 有 28 位 了 ; 

。 再 用 448-28， 得 到 还 需要 在 再 后 面 添加 420 位 的 “0”; 

。 有 再 在 最 后 用 64 位 来 表示 原始 消息 长 度 “27” 得 到 用 于 标识 原始 消息 长 度 的 64 
位 值 为 : 000......00( 前 面 一 共有 59 位 “0”) 11011。 

整个 填充 过 程 如 图 1-22 所 示 。 填 充 后 整个 用 于 杂凑 运算 的 消息 512 位 。 


010101011110101111010100001| 原 始 的 27 位 消息 


填充 的 一 位 4 bd 


0101010111101011110101000011000...000...000000. 00011011 
、 一 


一 一 一 
原始 的 27 位 消息 填充 的 420 位 “0” 64 位 用 于 标识 原始 
消息 长 度 的 值 


图 1-22” SM3 密码 杂凑 算法 的 填充 示例 


1.8.2 ”SM3 算法 消息 迭代 压缩 原理 


友 代 压缩 证 SM3 杂凑 算法 的 关键 , 但 这 里 的 原理 比较 复杂 , 作为 网 络 管理 和 维护 的 
人 员 可 不 深入 了 解 。 


和 欠 代 压 绾 的 基本 诛 理 如 下 : 
。 首先 将 第 一 个 512 位 的 消息 块 利用 对 应 的 压缩 函数 ， 压 缩 成 某 一 固定 长 度 的 比 
特 串 ; 


。 然后 再 将 第 一 个 512 位 消息 块 压 缩 后 的 固定 长 度 比 特 串 《有 具体 长 度 与 整个 消息 所 
划分 的 512 位 块 多 少 有 关 )， 以 及 第 二 个 512 位 消息 块 一 起 再 利用 压缩 函数 , 又 压缩 成 某 
一 固定 长 度 的 比特 串 ; 

。 然后 再 将 这 个 比特 串 再 将 作为 第 三 个 512 位 消息 块 压 缩 运算 的 输入 ， 连 同 第 三 个 
512 位 消 四 块 一 起 利用 压缩 画 数 ， 再 压缩 成 茶 一 固定 长 度 的 比特 串 ， 以 此 类 推 ; 

。 二 到 最 后 一 个 512 位 消息 也 被 压缩 成 同样 固定 长 度 的 比特 串 。 最 后 再 将 所 有 这 些 
512 位 消息 块 压 缩 后 的 固定 长 度 比特 串 依 次 串联 起 来 就 是 最 终 的 杂凑 值 了 。 

因为 具体 原理 比较 复杂 ， 且 作为 网 络 管理 和 维护 的 我 们 也 没 必要 有 太 深 入 的 了 解 ， 
故 在 此 不 再 具体 介绍 。 





本“ 下 面 接着 介绍 在 一 些 三 层 VPN 方案 中 所 使 用 的 一 些 加 密 算法 原理 。 加 密 算法 就 
是 为 生成 对 数据 进行 加 密 的 窗 钥 ， 通 党 是 对 称 的 ， 即 加 密 和 解密 是 采用 相同 的 密 钥 。 在 
华为 设备 支持 的 VPN 方案 中 ， 所 支持 的 加 密 算 法 也 比较 多 ， 主 要 包括 : DES (包括 des、 
des-cbc) 、3DES (3des、3des-cbc)、AES (包括 aes-128、aes-192、aes-256、aes-cbc-128、 
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aes-cbc-192、aes-cbc-256)、SM1。 


1.9 AES 加 密 算法 原理 


AES (Advanced Encryption Standard， 高 级 加 密 标 准 ) 是 美国 国家 标准 与 技术 研究 院 
(NIST) 在 2001 年 建立 了 电子 数据 的 加 密 规范 。 它 是 一 种 分 组 加 密 标准 ， 每 个 加 密 数 据 
块 大 小 固定 为 128 位 (16 个 字 节 )， 最 终生 成 的 加 密 密 钥 长 度 有 128 位 、192 位 和 256 
位 这 三 种 。 

另外 ，AES 主要 有 五 种 工作 模式 (其 实 还 有 很 多 模式 ): ECB (Electronic codebook， 
电子 密码 本 )、CBC (Cipher-block chaining， 密 码 分 组 链接 )、CFB (Cipher feedback， 密 
文 肥 馈 )、OFB (Output feedback， 输 出 反馈 )、PCBC (Propagating cipher-block chaining， 
增强 型 密码 分 组 链接 )。 


1.9.1 ”AES 的 数据 块 填充 

前 面 说 到 ，AES 的 加 密 数据 块 大 小 为 128 位 (16 个 字 节 )， 这 里 就 也 涉及 到 一 个 填 
充 的 问题 的 了 ， 因 为 一 个 数据 很 可 能 不 是 16 个 字 节 的 整数 倍 。 在 AES 加 密 算法 中 又 涉 
及 到 NoPadding 〈 不 填充 )、PKCS5Padding、ISO10126Padding、PaddingMode.Zeros 和 
PaddingMode.PKCS7 这 几 种 填充 模式 。 





如 果 加 窗 数 据 块 的 长 度 正 好 是 16 字 节 ， 则 需要 再 补 一 个 16 字 节 ， 各 种 支持 填充 
的 方式 都 是 这 样 的 ( 即 NoPadding 填充 方式 除外 )。 


l. NoPadding 

这 种 模式 就 是 不 填充 ， 即 不 足 128 位 的 加 密 数 据 块 加 密 后 仍 是 原来 的 长 度 ， 原 来 是 
多 少 位 ， 加 密 后 的 密 钥 仍 是 多 少 位 ， 这 与 AES 的 密 钥 长 度 规定 其 实 不 符 的 ， 所 以 通常 很 
少 采 用 。 这 种 填充 方式 也 并 不 是 所 有 AES 工作 模式 都 支持 的 ， 只 有 CFB、OFB 模式 支 
持 ，CBC、ECB 和 PCBC 模式 不 支持 。 

2. PKCSSPadding 

PKCS5Padding 填充 方式 的 填充 原则 是 : 如 果 原 始 加 密 数 据 块 长 度 少 于 16 个 字 节 
(128 位 )， 则 需要 补 满 16 个 字 节 ， 盾 充 的 方式 是 缺 多 少 个 字 节 ， 就 在 后 面 补 多 少 个 所 缺 
字 节 的 值 。 

如 原始 加 密 数 据 块 为 winda gz01， 这 里 有 10 个 字符 ， 对 应 10 个 字 节 (每 个 字符 用 
8 位 ， 即 一 个 字 市 表示 )， 这 样 离 16 个 字 节 的 要 求 还 差 6 个 字 节 ， 这 时 就 要 在 最 后 补 6 
个 “6”( 这 个 “6” 也 要 用 8 位 二 进 制 表示 ， 即 00000110)。 

如 果 原 始 加 密 数 据 块 恰好 是 16 个 字 节 的 整数 倍 ， 则 还 要 增加 一 个 16 字 节 的 “16”， 
即 16 个 “00010000”。 

3. PaddingMode.PKCS7 

在 前 面 的 PKCS5Padding 填充 方式 中 ， 所 填充 的 块 是 按 一 个 字 节 〈( 即 8 位 ) 来 计算 
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的 , 而 在 PaddingMode.PKCS7 填充 方式 中 , 对 于 填充 的 块 的 大 小 是 不 确定 的 , 可 以 在 1 一 
255 之 间 ， 但 填充 值 的 算法 与 PKCS5Padding 填充 方式 一 样 。 

如 果 填 充 块 长 度 为 8 比特 ， 原 始 加 密 数 据 块 长 度 为 9 个 字 节 ， 则 需要 填充 7 个 八 位 
的 “7”( 也 即 相 当 于 7 个 学 节 )， 使 得 加 密 数 据 块 仍 为 16 个 字 节 (128 位 )。 所 以 当选 择 
的 填充 块 为 8 位 时 ，PaddingMode.PKCS7 填充 方式 与 前 面 的 PKCS5Padding 填充 方式 是 
一 样 的 ， 只 不 过 在 PaddingMode.PKCS7 填充 方式 中 的 填充 块 大 小 可 以 不 是 8 位 , 而 是 可 
在 1 一 255 之 间 根 据 需要 选择 。 





上 “填充 块 长 度 的 选择 是 与 原始 加 密 数 据 块 大 小 有 关 的 ， 必 须要 使 得 填充 块 大 小 的 7 
倍 (1 为 整数 ) ， 加 上 原始 加 窗 数 据 块 长 度 最 终 能 为 16 个 字 节 。 如 原始 加 密 数 据 块 长 度 
仍 为 9 个 字 节 ， 此 时 就 不 能 选择 16 位 的 填充 块 长 度 了 ， 否则 填充 块 就 只 有 3.5 倍 了 ,， 显 
然 不 行 。 


4. ISO10126Padding 

这 种 填充 方式 的 填充 原则 是 : 填充 块 通 第 也 是 8 位 (一 个 字 市 )， 但 最 后 一 直 填 充 
块 用 来 标识 整 填充 字 节 序列 的 长 度 ， 其 余 填 充 块 可 填充 随机 数据 。 

如 原始 加 密 数据 块 长 度 为 9 个 字 市 ， 要 填充 到 16 个 字 市 ， 则 需要 填充 7 个 字 市 ， 
而 在 这 7 个 填充 字 节 填充 块 ) 中 前 6 个 字 市 可 是 随机 数值 ， 但 最 后 一 个 字 节 的 值 为 二 
进 制 中 的 “7”( 用 来 标识 整个 填充 字 市 长 度 为 7， 对 应 的 二 进 制 为 “00000111”)。 

如 果 原 始 加 密 数 据 块 恰好 是 16 个 字 节 的 整数 倍 ， 则 还 要 增加 一 个 16 字 节 ， 其 中 前 
面 15 个 字 市 可 以 是 随机 数值 ， 但 最 后 一 个 字 节 用 来 标识 新 填充 的 16 个 字 市 的 值 “16”， 
即 最 后 一 个 填充 字 市 为 “00010000”。 

$5. PaddingeMode.Zeros 

这 种 填充 方式 最 人 简单， 就 是 不 够 部 分 用 “0” 来 填充 。 如 原始 加 密 数 据 块 长 度 为 9 
个 字 节 ， 要 填充 到 16 个 字 节 ， 则 需要 填充 7 个 字 节 的 “0”。 

如 果 原 始 加 密 数 据 块 恰好 是 16 个 字 节 的 整数 倍 ， 则 还 要 增加 一 个 16 字 市 的 “0”， 
每 个 字 节 都 是 8 个 “0”( 即 00000000) 来 填充 。 

表 1-5 列 出 了 三 种 最 常用 的 AES 工作 模式 对 三 种 最 常用 的 填充 方式 的 文 持 。 





表 1-5 AES S 工作 模式 对 填充 方式 的 支持 
第 法 模式 ， 16 个 字 节 加 密 后 的 不 满 16 字 节 加 密 后 的 
”数据 长 度 数据 长 度 
0 不 支持 
AES | CBC | PKCsspadding | 32 16 
AES 16 
AES 原始 数据 长 
AES 16 
AES 16 
AES 不 
AES 16 


AES ISO10126Padding 16 
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( 续 表 ) 
，。 16 个 字 字 节 加 密 后 的 不 满 16 字 节 加 密 后 的 
i te 





AES 直译 
AES 16 
AES 16 


从 表 中 可 以 看 出 ， 在 原始 数据 长 度 为 16 个 字 节 的 整数 倍 时 ， 假 如 原始 数据 长 度 等 
于 16xn， 则 使 用 NoPadding 时 加 密 后 数据 长 度 等 于 16xn， 其 他 情况 下 加 密 数 据 长 度 等 
于 16x(n+1)， 即 要 新 增 一 个 16 字 节 。 在 不 足 16 的 整数 倍 的 情况 下 ， 假 如 原始 数据 长 度 
等 于 16xntm (其 中 m 小 于 16)， 除 了 NoPadding 填充 之 外 的 任何 方式 ， 加 密 数 据 长 度 
都 等 于 16x(n+1)， 不 够 16 字 币 部 要 要 根据 对 应 填充 方式 填充 到 16 字 攻 。NoPadding 填 
充 对 于 CBC、ECB 和 PCBC 三 种 模式 是 不 文 持 的 ， 而 CFB、OFB 两 种 模式 下 则 加 密 后 
的 数据 长 度 等 于 原始 数据 长 度 。 


1.9.2 ”AES 四 种 工作 模式 加 /解密 原理 


下 面 介 绍 前 面 提 到 的 ECB、CBC、CFB 和 OFB 四 种 AES 工作 模式 下 对 数据 进行 加 
密 和 解密 的 基本 原理 。 

1. ECB 模式 加 /解密 原理 

ECB《〈 电 子 密码 本 ) 模式 是 最 简单 的 块 密码 加 密 模 式 ， 加 密 前 根据 数据 块 大 小 (如 
AES 为 128 位 ) 分 成 若干 块 ， 之 后 将 每 块 使 用 相同 的 密 钥 单独 通过 块 加 密 器 加 密 ， 解 密 
的 过 程 与 加 密 的 过 程 相 逆 ， 所 使 用 的 是 块 解 密 器 。 

ECB 模式 的 基本 加 密 原 理 图 如 图 1-23 所 示 ， 基 本 解密 原理 如 图 1-24 所 示 。 


图 1-23 ECB 模式 数据 加 密 原 理 示 意 1-24 ECB 模式 数据 解密 原理 示意 


这 种 加 密 模式 的 优点 就 是 简单 ， 不 需要 初始 化 上 器 量 (IV)， 每 个 数据 块 独立 进行 加 / 
解密 ， 利 于 并 行 计算 ， 加 /解密 效率 很 高 。 但 这 种 模式 中 ， 所 有 数据 都 采用 相同 密 钥 进 行 
加 /解密 ， 也 没有 经 过 任何 逻辑 运 算 ， 相 同 明文 得 到 相同 的 密 文 ， 所 以 可 能 导致 “选择 明 
文 攻击 ”的 发 生 。 也 束 是 攻击 者 可 以 事先 任意 选择 一 定数 量 的 明文 (通常 不 是 一 条 ， 主 要 
是 为 了 最 大 限度 地 从 中 破解 这 些 明文 被 加 密 的 规律 )， 让 被 攻击 的 加 密 算法 为 这 些 明文 加 密 
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(当然 这 个 明文 发 送 者 已 具有 一 定 权 限 ， 可 以 让 加 密 器 为 他 发 的 数据 进行 加 密 )， 从 而 得 到 
相应 的 密 文 。 然 后 攻击 者 通过 对 多 组 明文 和 密 文 的 分 析 获 得 关于 加 密 算 法 的 一 些 信息 (如 
果 不 同 明文 中 的 相同 片段 ， 得 到 的 菜 密 文 片段 也 一 样 ， 就 可 以 知道 这 些 密 文 是 代表 什么 意 
思 了 )， 以 利于 攻击 者 在 将 来 更 有 效 的 破解 由 同样 加 密 算法 〈 以 及 相关 钥匙 ) 加 密 的 信息 。 

在 这 里 引用 网 上 传 的 一 则 例子 来 说 明 。 1942 年 ， 第 二 次 世界 大 战 过 程 中 
美国 海军 情报 局 截获 了 日 本 一 条 军事 情报 ， 情 报 显 示 “AF”( 密 文中 的 某 个 片段 ， 并 未 
解读 出 ) 将 会 是 下 一 个 攻击 目标 ， 密 码 专家 认为 AF 对 应 的 是 “Midway”( 中 途 岛 )， 但 
是 美国 当局 认为 日 本 不 可 能 攻打 中 途 岛 。 为 了 证 实 这 一 点 ， 密 码 专家 想 出 了 一 个 方法 ， 
要 求 中 途 怠 海军 基地 的 司令 官 以 无 线 电 回 珍珠 港 求救 ， 说 “中 途 品 上 面临 缺 水 的 危机 ” 
不 久 后 ， 美 国 海军 情报 局 便 截 夺 到 一 则 来 自 日 本 的 信息 ， 内 容 果然 提 到 了 “AF” 出 现 缺 
水 问题 。 结 果 “AF” 便 被 证 实 为 “中 途 岛 ”的 意思 ， 也 就 是 日 本 海军 的 下 一 个 攻击 目标 。 
这 可 以 说 是 “明文 攻击 ”的 一 个 侧面 说 明 ， 是 攻击 者 主动 发 起 的 。 

2. CBC 模式 加 /解密 原理 

CBC 〈 密 码 分 组 链接 ) 模式 是 先 将 明文 切 分 成 若干 小 块 ， 然 后 每 个 小 块 与 初始 块 或 
者 上 一 段 的 密 文 段 进行 逻辑 异 或 (@ ，XOR) 运算 后 ， 再 用 密 钥 进行 加 密 。 第 一 个 明文 块 
与 一 个 叫 初始 化 向 量 〈Initialization Vector) 的 数据 块 进行 逻辑 异 或 运算 。 这 样 就 有 效 的 解 
决 了 ECB 模式 所 暴露 出 来 的 问题 , 即使 两 个 明文 块 相同 , 加密 后 得 到 的 密 文 块 也 不 相同 。 

CBC 模式 的 基本 加 密 原 理 如 图 1-25 所 示 ( 以 两 个 数据 块 为 例 进行 介绍 )。CBC 的 解 

密 解 密 过 程 也 可 以 看 成 是 CBC 加 密 过 程 逆 过 程 ， 如 图 1-26 所 示 。 


| 、 | 、 
NU NU 


图 1-25 ”CBC 模式 数据 加 密 原 理 示 意图 
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1-26 ”CBC 模式 数据 解密 原理 示意 
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从 图 中 可 以 看 出 ， 在 CBC 模式 中 引入 了 一 个 随机 的 初始 化 回 量 〈 这 是 一 个 参数 ， 
需要 事先 设置 )， 并 有 晶 还 采用 了 异 或 逻辑 运算 , 不 是 直接 把 明文 用 密 钥 加 密 ， 而 且 前 后 数 
据 块 的 加 /解密 是 关联 的 , 所 以 相同 明文 不 一 定 能 得 到 相同 的 密 文 , 加 密 的 破解 难度 更 大 ， 
不 易 被 主动 攻击 ， 安 全 性 好 于 ECB， 是 SSL、IPSec 通常 采用 的 加 /解密 模式 。 

CBC 模式 的 缺点 也 是 它 的 优点 附带 的 ， 那 就 是 加 密 过 程 复杂 ， 效 率 较 低 。 其 次 ， 由 
于 采用 串 行 运算 方式 , 所 以 只 要 其 中 一 个 数据 块 的 加 /解密 运算 或 数据 传输 错误 都 可 能 
致 整个 数据 的 加 /解密 失败 。 另 外 ， 与 ECB 模式 一 样 在 加 密 前 需要 对 数据 进行 填充 ， 不 
是 很 适合 对 流 数 据 进行 加 密 。 

3. CFB 模式 加 /解密 原理 

与 ECB 和 CBC 模式 只 能 够 加 密 块 数据 不 同 ，CFB〈 密 文 反 馈 ) 模式 能 够 将 块 密 文 
(Block Cipher) 转换 为 流 密 文 (Stream Cipher)。CFB 模式 的 基本 加 密 原 理 如 图 1-27 所 
示 ， 基 本 解密 原理 如 图 1-28 所 示 。CFB 的 加 密 过 程 分 为 两 部 分 : 


初始 化 向 量 
初始 化 向 量 


4 zx | 一 了 


图 1-27 CFB 模式 的 基本 加 密 原理 示意 
块 加 密 器 密 铀 块 加 密 器 
中 中 


1-28 CFB 模式 的 基本 解密 原理 示意 





CFB 以 及 OFB 模式 中 解密 过 程 也 都 是 用 的 加 密 器 ， 而 非 解密 器 。 


。 将 前 一 数据 块 加 密 得 到 的 密 文通 过 块 加 密 器 利用 密 钥 再 进行 加 密 ，; 
。 将 上 一 步 加 密 得 到 的 数据 再 与 当前 块 的 明文 进行 逻辑 异 或 运算 。 
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实际 的 加 /解密 原理 比较 复杂 ， 作 为 网 络 管理 、 维 护 人 员 可 不 深入 了 解 。 

这 种 加 密 模式 中 ， 由 于 加 密 流 程 和 解密 流程 中 被 块 加 密 器 加 密 的 数据 是 前 一 块 的 密 
文 ， 因 此 即使 本 块 明文 数据 的 长 度 不 是 数据 块 大 小 的 整数 倍 也 是 不 需要 填充 的 ， 这 保证 
了 数据 长 度 在 加 密 前 后 是 相同 的 。 

4. OFB 模式 加 /解密 原理 

OFB 〈 输 出 反馈 ) 模式 不 再 是 直接 加 密 明 文 块 ， 其 加 密 过 程 是 先 用 块 加 密 器 生成 密 
钥 流 (Keystream)， 然 后 再 将 密 钥 流 与 明文 流 进行 逻辑 异 或 运算 得 到 密 文 流 ， 如 图 1-29 
所 示 。 解 密 过 程 是 先 用 块 加 密 器 生成 密 钥 流 ， 再 将 密 钥 流 与 密 文 流 进行 逻辑 异 或 运算 得 
到 明文 ， 如 图 1-30 所 示 ， 上 具体 加 /解密 原理 比较 复杂 ， 在 此 不 作 介绍 。 


Cr 到 对 -中 


图 1-29 OFB 模式 的 基本 加 密 原 理 示 意 


初始 化 向 量 
初始 化 各 量 | 


可 多 | 一 起 可 克 | 一 站 


图 1-30 OFB 模式 的 基本 解密 原理 示意 


1.10 ”DES 加 密 算法 原理 


DES (Data Encryption Standard， 数 据 加 密 标准 ) 是 1972 年 美国 IBM 公司 研制 的 对 
称 密码 体制 (加 密 和 人 解密 使 用 相同 的 密 钥 〉 加 密 算法 ，1977 年 被 美国 联邦 政府 的 国家 标 
准 局 确定 为 联邦 资料 处 理 标 准 (FIPS)， 并 授权 在 非 密级 政府 通信 中 使 用 ， 随 后 该 算法 在 
国际 上 广泛 流传 开 来 。 
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与 AES 算法 相 比 ，DES 在 参数 特性 方面 主要 区 别 体现 在 以 下 几 个 方面 : 

e。DES 的 数据 块 大 小 为 8 个 字 节 ， 而 AES 的 数据 块 大 小 为 16 个 字 节 。 

。DES 的 密 钥 长 度 是 64 位 (其 中 8 位 用 于 校 验 ), 而 AES 的 密 钥 长 度 是 128 位 (AES 
算法 比 DES 算法 更 安全 )。 

当然 ， 这 两 种 算法 在 加 / 解 方面 的 具体 原理 是 不 一 样 的 ， 但 DES 加 密 算 法 的 块 大 小 
及 密 钥 长 度 都 不 能 满足 现在 的 安全 需求 了 ， 所 以 现在 比较 少 使 用 这 种 加 密 算 法 ， 而 是 使 
用 像 AES 或 者 3DES 之 类 更 高 级 的 加 密 算法 。 


1.10.1 ”DES 的 数据 块 填充 


DES 的 加 密 过 程 与 上 节 介 绍 的 AES 加 密 过 程 有 些 类 似 ， 首 先 也 是 需要 对 明文 进行 
分 块 。DES 是 按 64 位 进行 分 块 〈AES 是 按 128 位 分 块 )， 密 钥 长 度 为 64 位 (事实 上 是 
仅 56 位 参与 DES 运算 ， 因 为 第 8、16、24、32、40、48、56、64 位 是 专用 于 校 验 的 ， 
即 密 钥 中 的 每 个 字 节 的 第 8 位 均 不 参与 加 密 运 算 )。 这 里 也 涉及 到 一 个 填充 的 问题 , 因为 
一 个 需 加 密 的 原始 数据 也 可 能 不 是 64 位 (8 个 字 节 ) 的 整数 倍 。 

在 DES 加 密 算 法 中 支持 的 填充 方式 也 有 好 多 ， 如 PKCS5Padding、ISO10126- 
2Padding、1ISO7816-4Padding、X9.23Padding、TBCPadding、ZeroBytePadding、NoPadding 
填充 方式 ,但 最 常用 的 就 是 前 面 已 在 AES 加 密 算 法 中 己 介 绍 的 PKCS5Padding 填充 方式 ， 
其 他 填充 方式 在 此 不 作 具 体 介 绍 。 

PKCS5Padding 盾 宛 方式 的 填充 方法 就 是 原始 数据 块 与 8 字 市 相 比 差 多 少 个 字 市 就 
以 所 缺 字 节 的 值 填充 多 少 个 字 节 。 如 一 数据 块 已 有 5 个 字 节 ， 即 还 差 3 个 字 节 ， 此 时 就 
填充 三 个 “3”( 每 个 “3” 用 一 个 字 节 表示 ); 如 原始 数据 块 只 有 一 个 字 节 ， 即 还 差 7 个 
字 节 ， 则 填充 七 个 “7”( 每 个 “7” 也 用 一 个 字 节 表示 )。 另 外 要 注意 ， 如 果 原 始 数据 块 
恰好 为 8 个 字 节 的 整数 倍 ， 也 是 要 填充 的 ， 那 就 填充 8 个 “8”( 每 个 “8” 也 用 一 个 字 节 
表示 )， 即 要 填充 8 个 字 节 。 这 样 只 要 读 出 最 后 一 个 字 贡 的 内 容 就 知道 哪些 字 节 是 填充 的 。 


1.10.2 ”DES 加 /解密 原理 


DES 加 密 算法 与 上 节 介 绍 的 AES 加 密 算 法 一 样 ， 也 有 不 同 的 工作 模式 ， 同 样 包括 
ECB、CBC、CFB 和 OFB 这 几 类 ， 各 目的 基本 工作 原理 也 是 一 样 的 ， 故 在 此 不 再 缆 述 。 

在 DES 算法 中 ， 加 密 的 过 程 就 是 用 56 位 密 钥 对 64 位 的 明文 数据 块 进行 16 轮 的 加 
密 处 理 ， 最 终生 成 64 位 的 密码 文 。DES 加 密 是 对 每 个 数据 块 进 行 加 密 ， 所 以 输入 的 参 
数 为 数据 块 〈64 位 ) 和 密 钥 〈56 位 )， 明 文 数 据 块 需要 经 过 置换 和 迭代 ， 密 钥 也 需要 置 
换 和 循环 移 位 ， 以 产生 在 分 组 明文 加 密 过 程 中 各 轮 迭 代 计 算 所 需 的 子 密 钥 (48 位 )。 整 
个 加 密 过 程 可 用 图 1-31 来 描述 。 

本 届 先 来 介绍 明文 数据 块 的 加 密 过 程 ， 下 节 再 介绍 子 密 钥 的 产生 过 程 。 但 因为 其 中 
涉及 到 许多 程序 开发 方面 的 复杂 运算 过 程 ， 所 以 在 此 仅 做 简单 的 介绍 。 

1. 初始 置换 z 

初始 置换 (Initial Permutation〉 把 输入 的 64 位 明文 数据 块 按 位 重新 组 合 ， 并 把 输 
出 分 为 L0、R0 两 部 分 ， 每 部 分 各 长 连续 的 32 位 。 其 置换 规则 为 : 将 数据 块 的 第 58 位 
换 到 第 1 位 ， 第 50 位 换 到 第 2 位 ， 以 此 类 推 ， 最 后 一 位 是 原始 数据 块 的 第 7 位。 各 位 的 
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对 应 的 原来 数据 块 中 的 位 数 相 差 8, 相当 于 将 原 明文 数据 块 各 字 节 按 列 抽出 来 重新 排列 。 
图 1-32 是 原始 明文 数据 块 中 各 位 的 位 置 〈 图 中 的 数字 均 代 表 对 应 的 比特 位 号 )， 图 1-33 
是 经 过 初始 置换 后 各 比特 位 所 对 应 的 原始 明文 数据 块 中 的 比特 位 号 。L0、R0 是 置换 后 
的 两 部 分 ，L0 是 输出 的 高 32 位 ，R0 是 输出 的 低 32 位 。 



















图 1-31 DES 算法 加 密 的 基本 流程 


i 对 Ea ec [2 28 | 7 | 20 25 | 加 
|23 2 2 9 8 |D 





图 1-32 原始 明文 密码 中 各 比特 位 所 对 应 的 比特 位 号 







Lo 






7 | | 33571911 


图 1-33 ”经 过 初始 置换 后 各 比特 位 所 对 应 的 原始 明文 数据 块 中 的 比特 号 





Ro 
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2. 后 续 运算 

经 过 初始 置换 后 ， 再 要 经 过 16 轮 的 加 密 迭 代 运 算 。 经 过 16 次 迭代 运算 后 得 到 Li6、 
Rie。 最 后 一 轮 迭 代 的 输出 有 64 位 ， 将 其 左 半 部 分 〈LIi6) 和 右 半 部 分 〈Ri6) 互 换 后 产生 
预 输出 。 然 后 ， 预 输出 再 采用 与 初始 置换 (IP) 相 逆 的 操作 一 一 即 逆 初始 置换 (IP”") 运 
算 ， 最 终 产生 64 位 的 密 文 块 。 逆 置换 正好 是 初始 置换 的 逆 运 算 ， 例 如 ， 第 1 位 经 过 初始 
置换 后 处 于 第 40 位 ， 而 通过 逆 置 换 又 将 第 40 位 换 回 到 第 1 位 。 

总 体 来 说 ， 加 密 迭 代 的 整个 过 程 主 要 是 由 加 密 函 数 f 来 实现 。 首 先 使 用 子 密 铀 kl 对 
经 过 初始 置换 后 的 32 位 Ro 进行 加 密 处 理 ， 得 到 的 结果 也 是 32 位 的 ;然后 再 将 这 个 32 
位 的 结果 数据 与 经 过 初始 置换 后 的 32 位 Lo 进行 模 2 处 理 , 从 而 再 次 得 到 一 个 32 位 的 数 
据 组 。 这 样 经 过 一 次 迭代 后 将 一 个 32 位 数据 ， 它 将 作为 第 二 次 加 密 迭 代 的 Li， 往 后 的 

一 次 迭代 过 程 都 与 上 述 过 程 相同 。 

在 结束 了 最 后 一 轮 加 密友 代 之 后 ,会 产生 一 个 64 位 的 数据 信息 组 。 然 后 将 这 个 64 位 
数据 信息 组 按 原 有 的 数据 排列 顺序 平均 分 为 左右 两 等 分 , 再 将 左右 两 等 分 的 部 分 进行 位 置 
调换 ， 即 原来 左 等 分 的 数据 整体 位 移 至 右 侧 ， 而 原来 右 等 分 的 数据 则 整体 位 移 至 左 侧 ， 这 
样 经 过 合并 后 的 数据 将 再 次 经 过 首 初 始 置换 IP" 的 计算 ， 最 终 将 得 到 一 组 64 位 的 密 文 。 

由 于 其 中 涉及 到 许多 复杂 的 运算 函数 ， 这 不 是 本 书 的 重点 ， 也 不 是 我 们 网 络 管理 人 
员 需 要 太 深 了 解 的 ， 故 在 此 不 做 具体 介绍 

3. DES 解密 原理 

DES 解密 和 加 密 过 程 采用 相同 的 算法 ， 并 采用 相同 的 加 密 密 钥 和 解密 密 钥 ， 解密 过 
程 可 以 看 成 是 加 密 过 程 的 逆 过 程 。 主 要 体现 在 以 下 几 个 方面 : 

e DES 加 密 是 从 Lo、Ro 到 LI6、Ri15 进 行 变换 ， 而 解密 时 是 从 LI6、Ri5 到 Lo、Ro 进 
行 变换 的 ; 

。 DES 加 密 时 各 轮 的 加 密 密 钥 为 kl、k2、…… 、k16， 而 解密 时 各 轮 的 解密 密 钥 为 
Cs ia 、kki; 

。 DES 加 密 时 密 钥 循环 左 移 ， 解 密 时 密 钥 循环 右 移 。 


1.10.3” 子 密 钥 生 成 原理 


之 前 介绍 到 ， 各 轮 达 代 运 算 中 ， 每 一 轮 都 需要 由 密 钥 单 独 生 成 的 子 密 钥 参 与 运算 。 
ena 注意 各 轮 运 算 中 所 生成 的 子 密 钥 是 不 一 样 的 。 
首先 要 按 如 图 1-34 所 示 的 固定 方式 对 原 密 钥 进行 置换 (注意: 图 中 的 数字 代表 比特 
位 号 ， 不 是 数据 )， 然 后 再 把 这 56 位 分 成 连续 的 两 部 分 (Co、Do)， 每 部 分 各 28 位 ， 其 
中 Co 包括 高 28 位 ，Do 包 括 低 28 位 ( 密 钥 比 特 位 的 编号 是 从 右 下 角 开 始 ， 同 依次 递增 ， 
即 堪 上 角 代 表 最 高 比特 位 ， 右 下 角 代 表 最 低 比 特 位 )。 


ls [ofl ls ls [el lel" 
Do 
le [olslels [slalsl [lslel 


图 1-34 ”经 过 置换 后 各 比特 位 所 对 应 的 原 密 钥 的 比特 位 号 
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然后 在 每 轮 对 数据 块 进行 迭代 时 ， 这 两 部 分 对 应 的 比特 位 分 别 在 原 密 钥 或 上 轮子 密 
钥 基 础 上 再 循环 左 移 1 位 或 2 位 (具体 是 第 1、2、9、16 轮 这 两 部 分 循环 左 移 一 位 ， 其 
他 各 轮 这 两 部 分 均 左 移 2 位 ) 生成 所 需 的 子 密 钥 。 如 第 一 轮 中 的 子 密 钥 就 如 图 1-35 所 示 
《Co、Do 循环 左 移 1 位 )， 第 2 轮 的 子 密 钥 就 如 网 1-36 所 示 “Co、Do 在 第 一 轮子 密 钥 基 
础 上 再 循环 左 移 1 位 )。 


Co ，. 


国 加 回国 回国 国 加 回回 可 
Do 
Gooononoannaus 





图 1-35 第 1 轮子 密 钥 各 比特 位 对 应 于 原 密 钥 的 比特 位 





和 3 


回国 回国 四 国 回 回回 回回 电台 加 
lls ll lal [els 
图 1-36 第 2 轮子 密 钥 各 比特 位 对 应 于 原 密 钥 的 比特 位 


每 进行 一 轮 循环 左 移 ， 就 要 进行 一 次 压缩 置换 ， 以 最 终 得 到 一 个 48 位 的 子 密 钥 。 
压缩 的 规则 是 : 第 9、18、22、25、35、38、43、54 位 〈 共 8 位 ) 数据 被 丢掉 ， 后 面 的 
比特 位 左 移 。 


1.10.4 3DES 算法 简介 


由 于 计算 机 运算 能 力 的 增强 , 原版 DES 密码 的 密 钥 长 度 变 得 容易 被 暴力 破解 ; 3DES 
(Triple DES) 即 是 设计 用 来 提供 一 种 相对 简单 的 方法 , 即 通过 增加 DES 的 密 钥 长 度 来 避 
免 类 似 的 攻击 ， 而 不 是 设计 一 种 全 新 的 块 密码 算法 。 它 也 有 DES 所 支持 的 CBC、ECB、 
CFB 和 OFB 等 几 种 工作 模式 ， 也 支持 PKCS5Padding、NoPadding 等 填充 方式 。 

在 具体 加 密 运 算 中 ，3DES 是 对 每 个 数据 块 使 用 3 个 DES 的 密 钥 〈 即 一 共 192 位 ， 
实际 参与 运算 的 是 168 位 ) 应 用 三 次 DES 加 密 算 法 对 数据 块 〈 仍 是 64 位 ，8 个 字 节 ) 
进行 三 次 加 密 。 但 所 使 用 的 3 个 密 钥 不 是 合并 成 一 个 密 钥 的 ， 而 是 仍 当 作 三 个 密 钥 来 使 
用 (假设 分 别 为 密 钥 1、 密 钥 2、 密 钥 3)， 在 3DES 加 密 时 依次 使 用 密 钥 1、 密 钥 2、 密 
钥 3 对 明文 数据 块 进行 分 别 加 密 ， 在 3DES 解密 时 依次 使 用 密 钥 3、 密 钥 2、 密 钥 1 对 密 
文 数据 块 进行 解密 。 

具体 的 3DES 加 密 、 解 密 原 理 其 实 是 与 前 面 介 绍 的 DES 加 密 、 解 密 原 理 一 样 ， 只 不 
过 是 需要 利用 3 个 密 钥 对 数据 块 进行 三 次 加 密 或 解密 ， 有 具体 过 程 比 较 复 杂 ， 在 此 不 作 


介绍 。 





Do 























IPSec 基础 及 手工 方式 
IPSec VPN 配 置 与 管理 


2.1 IPSec VPN 基 本 工作 原理 

2.2 IKE 密 钥 交 换 原 理 

2.3 IPSec 保 护 数据 流 和 虚拟 隧道 接口 

2.4 配置 基于 ACL 方 式 手 工 建立 IPSec 隧道 

2.5 基于 ACL 方 式 手工 建立 IPSec 隧 道 的 典型 故障 排除 
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IPSec VPN 是 一 项 应 用 最 广泛 , 也 最 为 重要 的 一 种 VPN 解决 方案 。 它 最 大 特点 是 安 
全 性 高 , 主要 体现 在 两 方面 : 一 是 IPSec VPN 隧道 是 要 经 过 一 整套 安全 参数 ( SA ) 协商 ， 
并 得 到 隧道 两 端 共同 认可 后 才能 建立 的 ， 即 VPN 隧道 本 身 也 是 受 保护 的 ;二 是 在 IPSec 
VPN 中 传输 的 数据 不 仅 要 经 过 加 密 处 理 , 还 支持 数据 完整 性 验证 和 数据 源 身 份 认证 功能 
(支持 像 预 共享 密 钥 、 数 字 证 书 和 数字 信封 等 多 种 认证 方式 )， 进 一 步 确保 隧道 端点 所 接 
收 的 数据 是 没有 被 非法 莫 改 ， 而 且 来 源 是 合法 的 。 

因为 IPSec VPN 所 包括 的 技术 比较 多 ， 而 且 在 IPSec VPN 隧道 建立 过 程 中 的 SA 安 
全 参数 的 指定 有 手工 和 IKE 动态 协商 两 种 方式 , 而 在 IKE 动态 协商 方式 的 安全 策略 创建 
配置 中 又 分 为 ISAKMP 方式 和 策略 模板 方式 两 种 ,所 以 IPSec VPN 的 配置 相 比 其 他 VPN 
方案 要 复杂 许多 。 为 了 方便 大 家 更 好 地 学 习 ， 把 IPSec VPN 部 分 内 容 分 三 章 来 介绍 ， 分 
门 别 类 地 把 各 种 IPSec VPN 方案 的 具体 配置 任务 、 配 置 步 又 详细 介绍 ， 并 给 出 多 个 基于 
不 同 应 用 的 实际 应 用 方案 的 有 具体 配置 。 

本 划 先 介绍 有 关 IPSec 相关 的 基础 知识 和 技术 原理 ， 然 后 介绍 主要 适用 于 少数 对 等 
体 间 互联 情形 的 基于 ACL 方式 的 手工 建立 IPSec 隧道 方案 的 具体 配置 与 管理 方法 , 以 及 
在 手工 建立 IPSec 隧道 方式 下 典型 的 IPSec VPN 典型 故障 排除 方法 。 后 续 两 章 再 分 别 具 
体 介 绍 基于 ACL 方式 下 的 KIE 协商 方式 建立 IPSec 隧道 方案 的 配置 与 管理 方法 ,基于 隧 
道 接 口 和 基于 Efficient VPN 方式 建立 IPSec 隧道 方案 的 配置 与 管理 方法 。 这样 大 家 学 习 
起 来 就 不 会 感觉 到 太 累 ， 条 理 更 清楚 ， 思 路 更 明确 。 

需要 说 明 的 是 ，IPSec 是 一 个 安全 框架 ， 不 是 一 项 单独 的 技术 ， 所 以 它 不 仅 可 应 用 
于 单独 的 IPSec VPN 的 构建 ， 还 可 为 其 他 VPN 隧道 技术 的 应 用 提供 安全 保护 ， 如 我 们 
将 在 本 书后 面 介 绍 的 L2TP VPN、GRE VPN 等 。 

本 章 最 后 将 介绍 在 手工 方式 IPSec VPN 的 部 署 过 程 中 可 能 出 现 的 一 些 典 型 故障 的 排 
除 方法 ， 布 望 对 大 家 在 实际 的 IPSec VPN 维护 过 程 中 有 所 帮助 。 






上 “华为 VRP 系统 自 V200R006 版 本 开始 ， 各 项 功能 的 配置 方法 改变 比较 大 ， 为 了 
方便 大 家 在 实际 工作 中 参考 ， 我 在 具体 内 容 介 绍 时 都 做 了 相应 的 说 明 。 


2.1 IPSecVPN 基本 工作 原理 


大 家 都 知道 ， 在 Internet 公 网 进行 的 数据 传输 中 ， 绝 大 部 分 数据 的 内 容 都 是 采用 明 
文 方式 进行 的 ， 如 我 们 在 QQ、 微 信 中 的 聊天 、 平 时 所 进行 的 数据 传输 等 。 这 样 就 会 存 
在 很 多 潜在 的 危险 ， 比 如 银行 账户 、 密 码 ， 或 者 其 他 一 些 敏 感 的 信息 被 一 些 别 有 用 心 的 
人 非法 镭 取 、 算 改 ， 最 终 可 能 导致 用 户 的 映 份 被 冒充 ， 银 行 账户 被 非法 取现 等 。 

如 果 在 网 络 中 部 署 IPSec， 不 仅 可 以 保证 数据 的 完整 性 和 来 源 的 合法 性 ， 还 可 以 确 
保 数 据 传 输 的 机 密 性 ， 保 障 了 用 户 业 务 传 输 的 安全 ， 降 低 信 息 泄 漏 的 风险 。 在 本 书 第 一 
章 已 介绍 了 IPSec 协议 在 数据 源 认 证 、 数 据 加 密 、 数 据 完整 性 验证 和 抗 重 放 四 重 功 能 。 

IPSec VPN 主要 也 是 利用 Internet 构建 VPN 的 ， 用 户 可 以 任意 方式 〈 如 专线 接 入 方 
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式 、PPPoE 拨号 接 入 方式 ， 甚 至 传统 的 Modem、ISDN 拨号 方式 ) 接 入 Internet， 且 不 受 
地 理 因 素 的 限制 。 所 以 ，IPSec VPN 不 仅 适 用 于 移动 办 公 员 工 、 商 业 伙 伴 接 入 ， 也 适用 
于 企业 分 支 机 构 之 间 站 点 到 站 点 〈Site-to-Site) 的 互 连 互 通 ， 如 图 2-1 所 示 。 


i | 
| 要 


# La 
和 人 





mp Sem 


图 2-1 IPSec VPN 的 应 用 





在 出 差 员 工 、SOHO 办 公用 户 通 过 IPSec VPN 访问 公司 总 部 网 络 的 情形 中 ,这 些 
移动 办 公用 户 需 要 部 署 使 用 Windows (Windows 7/8/10 系统 中 支持 采用 IKEvV2 动态 协 
商 )、Linux 桌面 操作 系统 中 自 带 的 IPSec VPN 客户 功能 , 或 华为 VPN Client 等 客户 端 软 
件 ， 本 书 不 作 介 绍 。 


2.1.1 IPSec 的 安全 机 制 


IPSec 是 “IP Security”(IP 安全 ) 的 简称 ， 不 是 一 个 单独 的 协议 ， 是 一 个 框架 性 架 
构 ， 是 一 系列 为 IP 网 络 提供 安全 性 的 协议 和 服务 的 集合 , 如 AH (Authentication Header， 
认证 头 )、ESP《〈Encapsulating Security Payload， 封 装 安 全 和 载 何 ) 安全 协议 ,IKE (Internet 
Key Exchange，Internet 密 钥 交换 ) 协议 、ISAKMP (Internet Security Association and Key 
Management Protocol， 因 特 网 安全 与 密 钥 管理 协议 )， 以 及 各 种 认证 、 加 密 算 法 等 ， 它 们 
之 间 的 关系 如 图 2-2 所 示 。 


加 密 


Wp 


图 2-2 ”IPSec 体系 架构 


AH 和 ESP 是 IPSec 的 两 种 安全 协议 ， 用 于 实现 IPSec 在 身份 认证 和 数据 加 密 方面 
的 安全 机 制 。 喘 份 认证 机 制 可 使 耻 通信 的 数据 接收 方 能 够 确认 数据 发 送 方 的 真实 身份 和 
数据 在 传输 过 程 中 是 否 遭 自 改 ;数据 加 密 机 制 通过 对 数据 进行 加 密 运 算 来 保证 数据 的 机 
密 性 ， 以 防 数据 在 传输 过 程 中 被 窃听 。JIPSec 架构 中 的 AH 协议 定义 了 认证 的 应 用 方法 ， 
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提供 数据 源 认 证 和 完整 性 保证 ;ESP 协议 定义 了 加 密 和 可 选 认 证 的 应 用 方法 ， 比 AH 协 
议 可 提供 更 全 面 的 安全 保证 。 

具体 来 说 ，AH 协议 提供 数据 源 认 证 、 数 据 完整 性 校 验 和 防 报 文 重 放 功 能 。 它 能 
护 通 信 数 据 免 受 自 改 ,但 不 能 防止 移 听 〈 因 为 它 不 会 对 数据 进行 加 密 )， 适 合用 于 传输 非 
机 密 数 据 。AH 的 工作 原理 是 在 原始 数据 包 中 添加 一 个 身份 认证 报 文 头 ， 为 数据 提供 完 
整 性 保护 。AH 可 选择 的 认证 算法 有 MD5 (Message Digest， 消 息 摘 要 )、SHA-1 (Secure 
Hash Algorithm 1， 安 全 哈 希 算法 -1)、SM3 等 。 

ESP 协议 提供 数据 加 密 、 数 据 源 认证 、 数 据 完整 性 校 验 和 防 报 文 重 放 功能 ， 比 AH 
协议 功能 更 全 面 。ESP 的 工作 原理 是 在 原始 数据 包 中 添加 一 个 ESP 报 文 头 ， 并 在 数据 包 
后 面 退 加 一 个 ESP 尾 和 可 选 的 ESP 认证 数据 。ESP 可 选 的 加 密 算 法 有 DES (Data 
Encryption Standard， 数 据 加 密 标 准 )、3DES (Triple DES， 三 倍 DES)、AES (Advanced 
Encryption Standard， 高 级 加 密 标 准 )、SMI1 等 。 同 时 ， 作 为 可 选项 ， 在 ESP 认证 数据 部 
分 ， 还 可 选择 MD5、SHA-1、SM3 算法 保证 报 文 的 完整 性 和 真实 性 。 

在 进行 IP 通信 时 , 可 以 根据 实际 安全 需求 选择 使 用 其 中 的 一 种 或 同时 使 用 这 两 种 协 
议 ， 但 同时 使 用 两 种 安全 协议 比较 少见 ， 因 为 AH 和 ESP 的 认证 功能 是 重 登 的 ， 且 在 一 
个 数据 包 同 时 增加 两 种 协议 头 ， 会 影响 数据 的 有 效 传输 率 。 

在 实际 的 应 用 中 ， 更 多 的 是 选择 ESP 协议 ， 原 因 主 要 有 两 个 : 一 是 因为 AH 无 法 提 
供 数据 加 密 ， 所 以 数据 传输 的 安全 性 较 差 ， 而 ESP 提供 数据 加 密 ; 二 是 因为 AH 协议 的 
认证 范围 包括 整个 IP 数据 包 ， 如 果 两 端 IPSec 设备 间 存 在 NAT 设备 会 导致 数据 包 的 IP 
报头 中 的 IP 地 址 发 生 改 变 ， 从 而 最 终 导致 认证 失败 ， 无 法 实现 NAT 穿越 ， 而 ESP 协议 
的 认证 范围 是 不 包括 最 外 层 的 IP 报头 的 ， 所 以 即使 IP 报头 部 分 的 地 址 信息 发 生 改 变 ， 
也 不 会 导致 最 终 的 认证 失败 ， 即 可 以 实现 NAT 穿越 ， 应 用 范围 更 广 。 

当然 ， 因 为 IPSec 在 对 数据 进行 封装 时 有 两 种 不 同 的 模式 《传输 模 式 和 隧道 模式 )， 
AH 和 ESP 协议 头 在 封装 后 的 IP 数据 包 的 位 置 不 完全 相同 ， 有 具体 请 看 下 节 。 


2.1.2 IPSec 的 两 种 封装 模式 


上 节 介 绍 到 ，IPSec 有 “ 降 道 ”和 “传输 ”两 种 封 逆 模 式 。 数 据 封 装 是 指 将 AH 或 
ESP 协议 相关 的 字段 插入 到 原始 IP 数据 包 中 ， 以 实现 对 报 文 的 身份 认证 和 加 密 ， 下 面 分 
别 予 以 具体 介绍 。 

1. 隧道 (Tunnel ) 模式 

隧道 模式 下 的 安全 协议 用 于 保护 整个 IP 数据 包 ， 即 用 户 的 整个 卫 数据 包 都 被 用 来 
计算 安全 协议 头 ， 生 成 的 安全 协议 头 以 及 加 密 的 用 户 数据 〈 仅 针对 ESP 封装 ) 被 封装 在 
一 个 新 的 卫 数据 包 中 。 也 就 是 在 隧道 模式 下 , 封装 后 的 IP 数据 包 有 内 、 外 两 个 IP 报头 ， 
其 中 的 内 部 IP 报头 为 原 卫 报头 (Raw IP Header)， 外 部 IP 报头 (New IP Header) 是 新 
增加 的 IP 报头。 新 添加 的 卫 报头 中 的 源 下 地 址 是 本 端 PSec 设备 应 用 IPSec 安全 策略 
的 接口 的 全 地址 , 目的 耳 地 址 是 对 端 IPSec 设备 应 用 IPSec 安全 策略 的 接口 的 卫 地 址 ， 
其 目的 就 是 在 把 用 户 发 送 的 数据 包 从 本 端 IPSec 设备 传输 到 对 问 IPSec 设备 ， 至 于 到 达 
对 端 IPSec 设备 后 数据 包 的 转发 是 由 IPSec 设备 所 配置 的 内 网 路 由 表 来 完成 ， 当 然 ， 此 
时 路 由 转发 的 是 在 IPSec 设备 上 解 封装 并 且 解 密 后 的 原始 IP 数据 包 。 
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在 隧道 封装 模式 中 ，AH 报头 或 ESP 报头 插 在 原 卫 报头 之 前 ， 并 另外 生成 一 个 “新 
IP 报头 ” 放 到 AH 报头 或 ESP 报头 之 前 。 以 TCP 通信 为 例 〈 其 他 协议 报 文 同样 支持 )， 
单独 使 用 AH 协议 、ESP 协议 , 或 者 同时 使 用 AH 和 ESP 协议 时 ， 重 封装 后 的 IP 报 文 格 
式 分 别 如 图 2-3 的 上 上、 中、 下 所 示 ， 有 具体 的 AH 报 文 和 ESP 报 文 格式 将 在 下 面 两 节 介绍 。 


Ta 


ESP 加 密 范 围 
ESP 认 证 范围 












单独 使 用 AH 协议 : 









单独 使 用 ESP 协 议 : 





AH 认 证 范围 (新 人 P 报 头 中 可 变 字段 除外 ) 
图 2-3 ”隧道 模式 下 IP 报 文 重 封装 的 结构 


图 2-3 中 的 AH 报头 包含 了 对 整个 新 IP 报 文 经 过 MD5/SHA/SM3 等 认证 算法 运算 后 
的 摘要 消息 ， 用 于 进行 映 份 认证 。ESP 协议 的 认证 信息 是 在 “ESP 认证 数据 ”字段 中 ， 
包括 了 “ESP 报头 ”， 以 及 经 过 加 密 的 整个 原 IP 报 文 和 “ESP 尾 ” 这 几 个 部 分 (不 包括 
新 IP 报头 ) 的 数据 经 过 MD5/SHA/SM3 等 算法 运算 后 的 摘要 。 但 ESP 协议 仅 对 原 IP 了 报 
文 和 “ESP 尾 ” 通 过 DES/AES/3DES/SMI1 等 加 密 算法 运算 进行 加 密 。 

从 图 2-3 中 可 以 看 出 ,在 隧道 模式 中 ,如果 采 用 了 AH 协议 ，AH 协议 的 认证 范围 是 
整个 新 生成 的 卫 数据 包 (包括 新 生成 的 全 报头 )， 只 要 发 生 了 数据 变化 (包括 协议 所 识 
别 的 最 外 层 IP 报头 地 址 信息 : 最 初 是 原 卫 报头 ， 重 封装 后 是 新 IP 报头 ) 则 会 导致 认证 
失败 ， 这 也 决定 了 采用 AH 协议 时 是 不 能 实现 NAT 穿越 的 ， 因 为 如 果 有 NAT 设备 的 话 ， 
最 外 层 卫 报头 的 地 址 信息 肯定 会 发 生变 化 。 而 如 果 单 独 采 用 ESP 协议 ， 认 证 范围 则 不 
包括 “新 卫 报头 ”和 “ESP 认证 数据 ”这 两 个 字段 ， 而 原 卫 报头 信息 不 会 发 生变 化 ， 
所 以 单独 采用 ESP 作为 安全 协议 时 ， 是 可 以 穿越 NAT 的 。 

采用 ESP 协议 进行 数据 加 密 时 的 加 密 范 围 则 包括 “ 原 IP 报头 、 数 据 部 分 〈 包 括 传 
输 层 协议 头 和 “数据 ”字段 )、“ESP 尾 ” 这 三 个 字段 ， 使 得 “ 原 正 报头 ”也 受到 保护 ， 
防止 了 恶意 用 户 修改 了 原始 报头 地 址 信息 。 

隧道 模式 在 两 台 主 机 点 对 点 连接 的 情况 下 ， 因 为 原始 IP 报头 放 在 了 AH 或 ESP 报 
头 之 后 ， 隐 藏 了 内 网 主机 的 私 网 卫 地 址 (新 生成 的 卫 报头 源 IP 地 址 为 网 关 的 公 网 人 P 
地 址 ), 可 保护 整个 原始 数据 包 传 输 的 安全 。 隧道 模式 通常 用 于 保护 两 个 安全 网 关 之 间 的 
数据 ， 实 现 站 点 到 站 点 (Site-to-Site〉 的 安全 连接 ， 如 图 2-4 所 示 。 


ROUTERA 


BB 


ROUTERB 






HOSTB 


2-4 ”隧道 模式 下 的 典型 应 用 
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【经 验 提示 】〗 当 在 IPSec 设备 是 由 路 由 器 或 防火 墙 设 备 提 供 时 ， 即 数据 包 进 行 安 全 传 
输 的 起 点 或 终点 不 为 数据 包 的 实际 起 点 和 终点 时 ， 则 必须 使 用 隧道 模式 ， 因 为 这 时 需要 
对 原始 IP 数据 包 中 的 私 网 地 址 进行 转换 《通过 重 封 装 ， 添 加 新 卫 报头 来 实现 ， 而 不 是 
NAT) ,否则 不 能 在 公 网 Internet 中 进行 路 由 转发 。 此 时 的 IPSec 隧道 就 是 在 两 端的 IPSec 
设备 之 间 。 

2. 传输 ( Transport ) 模式 

传输 模式 下 的 安全 协议 主要 用 于 保护 上 层 协议 《如 传输 层 协议 ) 报 文 ， 仅 传输 层 数 
据 被 用 来 计算 安全 协议 头 ， 生 成 的 安全 协议 头 以 及 加 密 的 用 户 数据 《〈 仅 针对 ESP 封 状 ) 
被 放置 在 原 IP 报头 后 面 。 即 在 传输 模式 下 ， 不 对 原 IP 报 文 进行 重 封闭， 只 是 把 新 添加 
的 认证 头 当 成 原始 IP 报 文 的 数据 部 分 进行 传输 。 

此 时 ，AH 报头 或 ESP 报头 被 插入 到 IP 报头 之 后 ， 但 在 传输 层 协议 头 之 前 。 也 以 
TCP 通信 为 例 〈 其 他 协议 报 文 同样 支持 )， 单 独 使 用 AH 协议 、ESP 协议 , 或 者 同时 使 用 
AH 和 ESP 协议 时 ， 重 封装 后 的 IP 报 文 格式 分 别 如 图 2-5 的 上 、 中 、 下 所 示 。 

从 图 2-5 中 可 以 看 出 ， 在 传输 模式 中 ，AH 报头 中 也 包括 了 对 整个 IP 报 文采 用 MD5/ 
SHA/SM3 等 认证 算法 运算 后 的 摘要 ;ESP 协议 的 认证 信息 也 是 在 “ESP 认证 数据 ”了 字段 
中 ， 是 对 经 过 加 密 的 “ESP 报头 ”IP 报 文 的 数据 部 分 〈 包 括 传输 层 协议 头 和 “数据 ” 字 
段 ) 和 “ESP 尾 ” 这 三 部 分 的 数据 经 过 MD5/SHA/SM3 等 算法 运算 后 的 摘要 ，ESP 协议 仅 
对 IP 报 文 中 的 数据 部 分 和 “ESP 尾 ” 这 两 部 分 通过 DES 人 /AES3DES/SM1 等 加 密 算 法 运算 
进行 加 密 。 所 以 ， 从 认证 或 加 密 的 范围 来 看 ， 它 与 隧道 模式 是 一 样 的 ， 即 采用 AH 协议 时 ， 
认证 的 范围 包括 整个 卫 数据 包 : 仅 采 用 ESP 协议 时 认证 的 范围 是 除 “IP 报头 ”“ESP 认证 
数据 ”这 两 个 字段 之 外 的 其 他 部 分 ， 而 ESP 对 数据 的 加 密 范 围 仍 仅 包括 IP 报 文 的 数据 部 
分 “ESP 尾 ” 这 几 个 部 分 ， 因 为 这 是 由 AH 和 ESP 协议 的 特性 决定 的 。 


认证 范围 (IP 报头 中 可 变 字段 除外 ) 


加 密 范围 


同时 使 用 AH 和 ESP 协 议 : 





单独 使 用 ESP 协 议 : 





a ESP 加 密 范 围 
ESP 认 证 范围 


AH 认 证 范围 IP 报头 中 可 变 字段 除外 ) 
图 2-5 ”传输 模式 下 IP 报 文 重 封装 的 结构 





当 要 求 点 对 点 〈 或 称 “ 端 到 端 ” 一 End-to-End) 的 安全 保障 ， 即 数据 包 进 行 安全 传 
输 的 起 点 和 终点 为 数据 包 的 实际 起 点 和 终点 时 才 可 以 使 用 传输 模式 (这 种 情形 下 也 可 以 
采用 隧道 模式 )， 因 为 这 时 不 用 对 用 户 发 送 的 IP 数据 包 进 行 重 封装 ， 只 需要 实现 点 对 扣 
的 通信 和 即 可 。 所 以 ， 传 输 模式 通常 用 于 保护 两 台 主 机 之 间 的 数据 通信 ， 如 图 2-6 所 示 ， 
比较 少 用 。 这 时 两 端 主机 需要 分 别 配置 为 I PSec VPN 客户 端 和 IPSec VPN 服务 器 ， 可 分 
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别 使 用 Windows、Linux 桌面 /服务 器 操作 系统 来 配置 ， 本 书 不 作 介绍 


HOSTA ROUTERA ROUTERB HOSTB 





2-6 ”传输 模式 下 的 典型 应 用 


3. 两 种 封装 模式 的 比较 

从 前 面 的 介绍 可 以 看 出 , 传输 模式 应 用 的 比较 少 , 仅 适 用 于 点 对 点 的 安全 保护 模式 ， 
站 点 到 站 点 ， 或 者 点 对 站 点 的 连接 情形 均 不 能 采用 传输 模式 。 下 面 总 体 比较 隧道 模式 和 
传输 模式 的 主要 特性 。 

。 从 安全 性 来 讲 , 隧道 模式 优 于 传输 模式 ,因为 隧道 模式 可 以 完全 地 对 原始 IP 数据 
包 进 行 认 证 和 加 密 ， 隐藏 客 户 机 的 私 网 IP 地 址 , 而 传输 模式 中 的 数据 加 密 是 不 包括 原始 
IP 报头 的 。 

。 从 性 能 来 讲 ， 因 为 隧道 模式 有 一 个 额外 的 卫 头 , 所 以 它 将 比 传输 模式 占用 更 多 市 
宽 ， 有 效 传输 率 较 低 。 

。 使 用 传输 模式 的 充 要 条 件 : 要 保护 的 数据 流 必 须 完全 在 发 起 方 、 响 应 方 IP 地 址 范 
围 内 ， 如 发 起 方 IP 地 址 为 6.24.1.2， 响 应 方 IP 地 址 为 2.17.1.2， 那 么 要 保护 的 数据 流 仅 
可 以 是 源 6.24.1.2/32、 目 的 是 2.17.1.2/32， 而 不 能 是 其 他 任意 地 址 。 当 然 这 里 IP 地 址 后 
缀 32 仅 代表 必须 与 发 起 方 , 或 响应 方 的 地 址 精确 匹配 (类似 于 ACL 中 的 通配符 掩 码 ) ， 
不 代表 所 在 的 网 络 。 


2.1.3 AH 报头 和 ESP 报头 格式 


在 上 节 我 们 提 到 了 AH 和 ESP 协议 的 报头 封装 ， 本 节 要 来 具体 介绍 这 两 种 协议 报头 
的 具体 格式 。 

1. AH 报头 格式 

AH 协议 是 位 于 网 络 层 ， 其 IP 协议 号 是 51， 但 位 于 IP 协议 之 上 ， 所 以 AH 报 文 需 
要 经 过 IP 协议 封装 。AH 报头 格式 如 图 2-7 所 示 ， 各 字段 说 明 如 下 。 


安全 参数 索引 (SPI) 


ei 变 长 
图 2-7 AH 报头 格式 
e 下 一 个 头 部 : 8 位 ， 标 识 AH 报头 之 后 第 一 个 上 层 协 议 头 的 类 型 ， 传 输 模式 下 ， 
是 被 保护 的 上 层 协 议 (TCP 或 UDP) 或 ESP 协议 的 编号 ; 隧道 模式 下 , 是 卫 协议 或 ESP 
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协议 的 编号 。 当 AH 与 ESP 协议 同时 使 用 时 ，AH 报 文 头 的 下 一 头 部 为 ESP 报 文 头 。 

。 载 何 长 度 : 8 位 ， 以 4 个 字 节 为 单位 表示 接受 保护 的 整个 数据 的 长 度 。 

。 保留 : 16 位 ， 预 留 以 后 使 用 。 

e。 安全 参数 索引 〈Security Parameter Index，SPI): 32 位 ， 用 于 唯一 标识 IPSec 安全 
联盟 。 

。 序列 号 : 32 位 ， 是 一 个 从 1 开始 ， 并 以 1 进行 递增 的 计数 器 值 ， 表 示 通 过 安全 联 
盟 所 发 送 的 数据 包 序 号 ， 用 于 抗 重 放 攻 击 。 

。 认证 数据 : 长 度 可 变 ， 但 必须 是 32 位 的 整数 倍 ， 否 则 要 进行 填充 。 包 含 对 数据 
包 通 过 相应 的 摘要 算法 计算 的 ICV (Integrity Check Value， 完 整 性 校 验 值 )， 也 称 MAC 
(Message Authentication Code， 消 息 验 证 码 )， 是 一 个 消息 摘要 ， 用 于 接收 方 进行 完 整 性 
校 验 。 可 选择 的 认证 算法 有 MD5 (Message Digest)、SHA-1 (Secure Hash Algorithm )、 
SHA-2、SM3。 

2. ESP 报头 格式 

ESP 协议 的 IP 协议 写 是 50， 与 AH 协议 一 样 ， 也 位 于 网 络 层 的 IP 协议 之 上 ， 所 以 
ESP 报 文 也 需要 经 过 IP 协议 封装 。ESP 除 提供 AH 协议 的 功能 之 外 ， 还 提供 对 有 效 载荷 
的 加 密 功 能 

在 IPv4 报 文中 ，ESP 报头 紧 随 在 IPv4 报头 之 后 。 在 IPv6 报 文中 ，ESP 报头 的 位 置 
与 是 否 存在 扩展 报头 有 关 ， 如 果 有 “目的 地 选项 ”扩展 报头 ， 则 ESP 报头 必须 在 此 扩展 
报头 之 前 ， 如 果 有 其 他 扩展 报头 ， 则 ESP 报头 必须 在 这 些 扩展 报头 之 后 ; 如 果 没 有 扩展 
报头 ，IPv6 报头 的 “下 一 个 头 ” 字 段 束 会 设 为 S0， 代 表 是 ESP 报头 。 

ESP 的 工作 原理 是 在 每 一 个 数据 包 的 标准 IP 报头 后 面 添加 一 个 ESP 报 文 头 ， 并 在 
数据 包 后 面 追加 一 个 ESP 尾 (ESP 尾部 和 ESP 认证 数据 ), 我 们 把 这 整个 部 分 称 之 为 ESP 
报头 ， 格 式 如 图 2-8 所 示 。 


安全 参数 索引 (SPI) 


ESP 
nn 关 部 


负载 数据 《〈 变 长 的 ) 
尾部 


ESP 
ee 变 长 认证 








冰 疏 南洋 






图 2-8 ESP 报头 格式 


e 安全 参数 索引 : 32 位 ， 用 于 唯一 标识 IPSec 安全 联盟 。 
e 序列 号 : 32 位 ， 是 一 个 从 1 开始 ， 并 以 1 进行 递增 的 计数 器 值 ， 表 示 通 过 通信 的 
安全 联盟 所 发 送 的 数据 包 数 ， 用 于 抗 重 放 攻击 。 
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。 负载 数据 : 包含 由 下 一 头 部 字段 所 包括 整个 的 可 变 长 数据 。 

。 填充 : 0 一 255 个 字 节 ， 盾 充 字 段 的 长 度 与 负载 数据 的 长 度 和 算法 有 关 ， 用 来 确保 
所 加 密 的 数据 块 长 度 达 到 加 密 算 法 所 需 的 字 节 要 求 ， 具 体 的 填充 方式 要 视 所 采用 的 加 密 
算法 而 定 。 

。 填充 长 度 : 表示 “填充 ”字段 的 长 度 〈 以 字 节 为 单位 )。 在 使 用 了 填充 字 节 的 加 
密 数据 块 解密 之 后 ， 接 收 方 就 可 知道 要 删除 多 少 个 填充 字 节 。 为 0 时 表示 没有 填 元 。 

。 下 一 个 头 部 : 8 位 ， 标 识 ESP 报 文 头 后 面 的 下 一 个 负载 协议 类 型 。 传 输 模式 下 ， 
是 被 保护 的 上 层 协 议 〈TCP 或 UDP) 的 编号 ， 隧 道 模式 下 ， 是 卫 协议 的 编号 。 

。 认证 数据 : 长 度 为 32 比特 的 整数 倍 , 通常 为 96 比特 。 包 含 完整 性 校 验 值 (ICV )， 
用 于 接收 方 进行 完整 性 校 验 ， 可 选择 的 认证 算法 与 AH 的 相同 。ESP 的 验证 功能 是 可 选 
的 ， 如 果 启 动 了 数据 包 验 证 ， 会 在 加 密 数 据 的 尾部 添加 一 个 ICV 数值 。 

表 2-1 给 出 AH 协议 和 ESP 协议 在 一 些 参数 特性 上 的 比较 。 


表 2-1 AH 协议 与 ESP 协议 的 比较 
安全 特性 ， 、， |、 mi pop 
协议 号 51 50 
数据 完整 性 校 验 支持 (不 验证 包头 ) 
数据 源 验证 支持 
数据 加 密 支持 
防 报 文 重 放 攻 击 支持 
IPSec NAT-T (NAT 穿越 ) 支持 


2.1.4 IPSec 隧道 建立 原理 


IPSec 隧道 的 建立 ， 其 实 束 是 在 隧道 两 疹 的 设备 上 建立 好 SA 《Security Association， 
安全 联盟 )。 但 SA 的 建立 有 两 种 方式 : 一 种 是 手工 方式 ， 直 接 在 两 端的 IPSec 设备 配置 
好 具体 的 安全 参数 ， 包 括 对 等 体 地 址 、 封 装 模 式 、 安 全 协议 、 认 证 方法 、 认 证 算法 和 加 
密 算 法 ， 出 /入 方 同 SA 的 认证 密 钥 和 加 密 密 钥 、 出 /入 方 同 SA 的 SPI (Security Parameter 
Index， 安 全 参数 索引 ) 等 ,， 最终 直 接 在 两 端 设备 间 建 立 双 问 IPSec SA, 建立 IPSec 隧道 。 

IPSec 用 于 在 协商 发 起 方 和 响应 方 这 两 个 端点 之 间 提 供 安 全 的 IP 通信， 通信 的 两 个 
闹 点 被 称 为 IPSec 对 等 体 ， 可 以 是 网 关 路 由 器 ， 也 可 以 是 用 户主 机 。IPSec 为 对 等 体 间 建 
立 IPSec 隧道 来 提供 对 数据 流 的 安全 保护 。 一 对 IPSec 对 等 体 间 可 以 存在 多 条 IPSec 隧 
道 , 可 以 针对 不 同 的 数据 流 各 选择 一 条 隧道 对 其 进行 保护 , 例如 有 的 数据 流 只 需要 认证 ， 
有 的 则 需要 同时 认证 和 加 密 。 

建立 IPSec 隧道 的 另 一 种 方式 是 通过 IKE 协议 来 动态 协商 的 , 这 时 IPSec SA 的 建立 
不 那么 直接 了 ， 而 是 要 先 在 隧道 两 端 协商 建立 下 E SA (在 此 过 程 中 会 生成 认证 密 钥 和 加 
密 密 钥 ， 无 需 手工 配置 了 )， 然 后 再 在 此 基础 上 协商 建立 IPSec SA (此 阶段 还 可 生成 新 
的 直接 用 十 用 户 数 据 加 密 的 加 密 密 钠 )， 最 终 建 立 IPSec 隧道 。 

无 论 哪 种 IPSec 隧道 建立 方式 ，SA 的 建立 是 关键 ,在 使 用 IPSec 保护 数据 之 前 ， 必 
须 先 建立 SA。SA 是 IPSec 对 等 体 间 对 某 些 要 素 的 约定 〈 即 安全 策略 )， 例 如 ， 所 使 用 的 
安全 协议 (AH、ESP 或 两 者 结合 使 用 )、 协 议 报 文 的 封装 模式 〈 传 输 模 式 或 隧道 模式 )、 
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认证 算法 (HMAC-MD5 或 HMAC-SHA1 等 )、 加 密 算 法 (DES、3DES 或 AES 等 )、 
共享 密 钥 以 及 密 钥 的 生存 时 间 等 。 对 等 体 间 需 要 通过 手工 配置 或 IKE 协议 协商 匹配 的 
参数 后 才能 建立 SA。 即 对 等 体 间 只 能 在 双方 最 终 确 定 〈 可 以 直接 通过 手工 方式 配置 确 
定 ， 或 者 通过 IKE 协议 协商 确定 ) 所 采用 SA 后 才能 建立 对 等 体 关系 。 手 工 方式 建立 
SA 时 ,所 需 的 全 部 信息 都 必须 由 我 们 网 络 管理 人 员 手 工 配置 , 所 建立 的 SA 永 不 老化 。 
IKE 动态 协商 方式 建立 SA 时 ， 由 IKE 协议 完成 密 钥 的 自动 协商 ， 所 建立 的 SA 具有 生 
存 时 间 。 

SA 是 出 于 安全 目的 而 创建 的 一 个 单 向 逻辑 连接 , 所 有 经 过 同一 SA 的 数据 流 都 会 得 
到 相同 的 安全 服务 , 如 AH 或 ESP。 正 因 如 此 ,对 等 体 之 间 的 双向 通信 和 需要 建立 一 对 ( 妈 
两 个 方向 各 一 个 ) SA， 即 一 对 SA (两 个 ) 对 应 于 一 条 IPSec 隧道 。 如 果 两 个 对 等 体 希 
望 同时 使 用 AH 和 ESP 来 进行 安全 通信 ， 则 每 个 对 等 体 都 会 针对 每 一 种 协议 来 构建 一 个 
独立 的 SA， 则 在 对 等 体 间 至 少 有 2 对 (四 个 ) SA。 

IPSec 建立 的 SA 和 隧道 关系 如 图 2-9 所 示 ， 数 据 从 对 等 体 A 发 送 到 对 等 体 B 时 ， 
对 等 体 A 对 原始 数据 包 进 行 加 密 ， 加 密 数据 包 在 IPSec 隧道 中 传输 ， 到 达 对 等 体 B 后 ， 
对 等 体 B 对 加 密 数 据 包 进行 解密 ， 还 原 成 原始 数据 包 。 数 据 从 对 等 体 B 发 送 到 对 等 体 A 
时 ， 处 理 方式 类 似 ， 但 所 用 的 SA 不 同 。 





图 2-9 IPSec 建立 的 SA 和 隧道 示意 


SA 由 一 个 三 元 组 来 做 唯一 标识 ， 包 括 SPI、 目 的 卫 地 址 〈 对 端 对 等 体 的 卫 地 址 ) 

和 使 用 的 安全 协议 (AH 或 ESP)。 其 中 ，SPI 是 用 于 标识 SA 的 一 个 32 比特 的 数值 ， 在 
AH 或 ESP 报头 中 标识 ， 可 用 于 在 接收 端 识别 数据 与 SA 的 绑 定 关 系 。 因 为 可 以 从 接收 
到 的 数据 的 AH 或 ESP 报头 获知 对 应 的 SPI， 然 后 看 与 本 端 配置 的 哪个 入 方向 的 SPI 一 
致 ， 以 此 可 确定 所 接收 的 数据 是 采用 哪个 SA。 在 SPI 的 配置 中 ， 要 求 本 端的 出 方向 SA 
的 SPI 必须 和 对 端的 入 方向 的 SPI 一 样 ， 相 反 ， 本 端的 入 方向 SA 的 SPI 也 必须 和 对 端 
的 出 方向 SA 的 SPI 一 样 。 为 保证 SA 的 唯一 性 , 出 /入 方 癌 SA 的 SPI 值 不 能 设置 成 相同 
值 ， 即 不 同 的 SA 必须 对 应 于 不 同 的 SPI。 


2.2 IKE 密 钥 交换 原理 


前 面 已 提 到 ,在 采用 IKE 动态 协商 方式 建立 IPSec 隧道 时 ,SA 有 两 种 :一 种 IKE SA， 
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另 一 种 是 IPSec SA。 建 立 IKE SA 目的 是 为 了 协商 用 于 保护 IPSec 隧道 的 一 组 安全 参数 ， 
建立 IPSec SA 的 目的 是 为 了 协商 用 于 保护 用 户 数据 的 安全 参数 ， 但 在 IKE 动态 协商 方 
式 中 ，IKE SA 是 IPSec SA 的 基础 ， 因 为 IPSec SA 的 建立 需要 用 到 IKE SA 建立 后 的 一 
系列 密 钥 。 本 节 会 具体 介绍 在 IKE 动态 协商 方式 建立 IPSec 隧道 时 的 基本 工作 原理 。 


2.2.1 1IKE 动态 协商 综述 


上 节 已 介绍 到 ， 手 工 方式 建立 SA 存在 配置 复杂 、 不 支持 发 起 方 地 址 动态 变化 、 建 
立 的 SA 永 不 老化 、 不 利于 安全 性 等 缺点 。 本 节 具 体 介 绍 动态 协商 方式 的 好 处 , 以 及 IKE 
与 IPSec 的 关系 。 

1. IKE 动态 协商 方式 的 好 处 

采用 IKE 协议 为 IPSec 目 动 协商 建立 SA， 可 以 得 到 以 下 好 处 。 

(1) 降低 了 配置 的 复杂 度 

在 IKE 动态 协商 方式 下 ，SPI、 认 证 密 钥 和 加 密 密 钥 等 参数 将 目 动 生 成 ， 而 手工 方 
式 中 需 根据 SA 出 方向 和 入 方 加 分别 指 定 。 

(2) 提供 抗 重 放 功 能 

IPSec 使 用 AH 或 ESP 报头 中 的 序列 号 实现 抗 重 放 《不 接受 序列 号 相同 的 数据 包 )。 
当 AH 或 ESP 报头 中 的 序列 号 溢出 〈 也 是 达到 了 最 大 值 ， 不 能 再 继续 往 下 编号 ， 要 开始 
新 一 轮 的 重新 编号 了 ) 后 ， 为 实现 抗 重 放 ，SA 需要 重新 建立 ， 这 个 过 程 需要 IKE 协议 
的 配合 ， 所 以 手工 方式 下 不 文 持 抗 重 放 功能 。 

【经 验 提 示 】 重 放 攻 击 是 指 再 次 发 送 已 发 送 过 (数据 包 序 列 号 与 原来 一 样 ) 的 数据 包 ， 
攻击 者 可 采用 这 种 方式 对 目的 主机 进行 攻击 ， 使 目的 主机 不 断 接 收 本 已 接收 、 解 析 重 复 
的 数据 包 而 大 量 消耗 资源 ， 甚 至 衣 渍 。 抗 重 放 就 是 抵抗 这 种 重 放 攻击 。 

(3) 支持 协商 发 起 方 地 址 动态 变化 情况 下 《〈 如 采用 PPPoE 拨号 方式 接 入 Internet) 
的 身份 认证 ， 手 工 方式 不 支持 ， 只 能 适用 于 在 两 端 都 采用 专线 连接 方式 接 入 Internet 
情形 。 

(4) 支持 认证 中 心 CA(Certificate Authority) 在 线 对 对 等 体 身份 的 认证 和 集中 管理 ， 
有 利于 IPSec 的 大 规模 部 署 ， 手 工 方式 不 文 持 在 线 认 证 方式 。 

(5) 通过 IKE 协商 建立 的 SA 具有 生存 周期 ， 可 以 实时 更 新 ， 降 低 了 SA 被 破解 的 
风险 ， 提 高 了 安全 性 。 

生存 周期 到 达 指 定 的 时 间或 指定 的 流量 ，SA 就 会 失效 。 在 SA 快要 失效 前 ，IKE 将 
为 对 等 体 协商 新 的 SA。 在 新 的 SA 协商 好 之 后 ， 对 等 体 立 即 采 用 新 的 SA 保护 通信 。 生 
存 周 期 有 两 种 定义 方式 : 

。 基于 时 间 的 生存 周期 ， 定 义 了 一 个 SA 从 建立 到 失效 的 时 间 。 

。 基 流 量 的 生存 周期 ， 定 义 了 一 个 SA 允许 处 理 的 最 大 流量 

2. IKE 与 IPSec 的 关系 

IKE 协议 建立 在 ISAKMP (JInternet Security Association and Key Management 
Protocol，Internet 安全 联盟 和 密 钥 管理 协议 ) 定义 的 框架 上 ， 是 基于 UDP 的 应 用 层 协 议 
(对 应 UDP 500 端口 )。 它 为 IPSec 提供 了 自动 协商 交换 密 钥 、 建 立 SA 的 服务 ， 能 够 便 
化 IPSec 的 使 用 和 管理 。 
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其 实 IKE 也 不 是 一 个 单独 的 协议 ， 它 包括 三 大 协议 : ISAKMP (Internet Security 

Association and Key Management Protocol， 因 特 网 安全 联盟 和 密 钥 管理 协议 ) 、Oakley 
(Oakley Key Determination Protocol， 奥 利克 密 钥 确定 协议 ) 和 SKEME (Secure Key 
Exchange Mechanism for Internet， 因 特 网 安全 密 钥 交换 机 制 )。ISAKMP 主要 定义 了 IKE 
对 等 体 (IKE Peer) 之 间 合 作 关 系 ， 建 立 IKE SA。Oakley 协议 是 一 个 产生 和 交换 IPSec 
客 钥 材料 并 协调 IPSec 参数 的 框架 (包括 支持 哪些 安全 协议 ); SKEME 协议 决定 了 IKE 
密 钥 交换 的 方式 ， 主 要 采用 DH (Diffie-Hellman) 算法 。 


IKE 与 IPSec (包括 AH 和 ESP 协议 ) 的 关系 如 图 2-10 所 示 , IKE 是 UDP 之 上 的 一 
个 应 用 层 协 议 (AH 和 ESP 是 网 络 层 协议 )， 是 IPSec 的 信 令 协议 ;IKE 为 IPSec 协商 建 
立 SA， 并 把 建立 的 参数 及 生成 的 密 钥 交 给 IPSec; IPSec 使 用 IKE 建立 的 SA 对 IP 报 文 
加 密 或 认证 处 理 。 


加 密 的 卫 报 文 


(2) 双 向 IPSec SA 建立 
图 2-10 ”IKE 与 IPSec 的 关系 示意 





对 等 体 之 间 建 立 一 个 IKE SA 后 ,在 IKE SA 保护 了 IPSec 隧道 的 情况 下 ， 再 根据 配 
置 的 AH、ESP 安全 协议 等 参数 协商 出 一 对 IPSec SA， 用 于 对 等 体 间 的 数据 在 IPSec 隧 
道中 的 安全 数据 传输 。 

IKE 协议 目前 有 区 Ev1 和 IKEv2 两 个 版 本 。IKEv1 版 本 使 用 两 个 阶段 为 IPSec 进行 
密 钥 协商 并 最 终 建 立 IPSec SA。 第 一 阶段 ， 通 信 双 方 协商 建立 IKE 本 身 使 用 的 安全 通道 
( 即 隧道 )， 即 建立 一 对 IKE SA。 第 二 阶段 ， 利 用 这 个 已 通过 了 认证 和 安全 保护 的 安全 通 
道 建立 一 对 用 于 保护 隧道 中 数据 安全 传输 的 IPSec SA。 而 焉 Ev2 版 本 则 简化 了 协商 过 程 ， 
在 一 次 协商 中 可 直接 产生 IPSec 的 密 钥 ， 生 成 IPSec SA。 

下 面 先 来 了 解 KE 在 产生 SA (包括 IKE SA 和 IPSec SA) 的 过 程 中 所 用 的 一 些 安 
全 机 制 ， 这 是 后 面 介绍 具 体 的 IKE 协商 过 程 中 所 要 用 到 的 。 


2.2.2 |IKE 的 安全 机 制 


IPSec 应 用 方案 之 所 以 能 在 公 网 (如 Internet) 上 安全 地 进行 网 络 通 信 ， 其 重要 原因 
是 可 在 对 等 体 间 的 整个 隧道 建立 和 数据 传输 过 程 中 均 有 各 种 安全 机 制 来 做 保障 ， 这 方面 
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如 果 采 用 的 是 IKE 来 进行 自动 的 密 钥 交换 和 协商 同样 可 以 做 到 , 因为 IKE 本 身 就 具有 一 
整套 自我 保护 机 制 ， 可 以 在 不 安全 的 网 络 上 安全 地 认证 身份 、 分 发 密 钥 。 具 体 体现 在 以 
下 几 种 安全 保护 方面 。 

1 身份 认证 机 制 

当 使 用 IKE 在 对 等 体 间 进 行 信 息 交 换 时 ， 首 先 要 识别 对 方 的 合法 性 ， 也 就 是 喘 份 认 
证 问题 。 在 IKE 中 可 用 于 确定 对 等 体 身份 (对 等 体 的 IP 地 址 或 名 称 ) 的 机 制 比 较 全 面 ， 
包括 预 共 享 密 钥 PSK (pre-shared key) 认证 、RSA 数字 证 书 (rsa-signature， 或 称 RSA 
数字 签名 ) 认证 和 RSA 数字 信封 认证 。 

(1) 预 共 享 密 钥 认 证 

在 预 共享 密 钥 认证 中 ， 共 享 密 钥 是 作为 密 钥 生成 材料 的 ， 通 信 双 方 采 用 共享 的 密 铀 
用 相同 的 哈 希 算法 〈 也 称 杂 凌 算 法 ， 或 单 癌 散 列 算法 ) 对 报 文 进行 哈 希 运算 ， 根 据 运算 
的 结果 是 否 与 发 送 方 发 来 的 哈 希 一 致 来 判断 所 接收 的 数据 是 否 被 代 改 ， 消 息 来 源 是 否 可 
靠 。 如 果 相 同 ， 则 认证 通过 ;否则 认证 失败 。 

在 大 多 数 IPSec 应 用 中 都 是 采用 配置 比较 简单 的 预 共享 密 钥 认 证 方法 。 

(2) 数字 证 书 认证 

在 数字 证 书 认 证 中 ， 通 信 双 方 使 用 CA 证 书 进行 数字 证 书 合法 性 验证 。 在 CA 证 书 
中 ， 双 方 有 各 自 的 公 钥 〈 网 络 上 传输 )》 和 私 钥 〈 自 己 持 有 )。 发 送 方 对 原始 报 文 进行 哈 希 
运算 ， 并 用 上 自己 的 私 钥 对 报 文 计算 结果 进行 加 密 ， 生 成 数字 签名 。 接 收 方 使 用 发 送 方 的 
公 钥 对 数字 签名 进行 解密 ， 然 后 采用 相同 的 哈 希 算法 对 解密 后 的 报 文 进行 哈 希 算 ， 看 运 
算 的 结果 与 解密 发 送 方 发 来 的 哈 硕 值 是 否 相同 。 如 果 相 同 ， 则 认证 通过 ; 否则 认证 失败 。 

有 关 数 字 证 书 身 份 认 证 及 配置 与 管理 方法 将 在 本 书 第 8 章 介 绍 。 

(3) 数字 信封 认证 

数字 信封 认证 的 基本 原理 是 将 对 称 密 钥 通过 非 对 称 加 密 ( 即 有 公 钥 和 私 钥 两 个 〉 的 
结果 回 对 方 分 发 对 称 密 钥 的 方法 ， 类 似 于 现实 生活 中 的 信件 。 我 们 知道 ， 现 实生 活 中 的 
信件 在 法 律 的 约束 下 可 保证 只 有 收 信 人 才能 阅读 信 的 内 容 。 数 字 信 封 则 采用 密码 技术 保 
证 了 只 有 规定 的 接收 入 才能 阅读 被 保密 的 内 容 。 

在 数字 信封 中 ， 发 送 方 采用 对 称 密 钥 〈 需 要 发 送 方 事先 随机 产生 一 个 对 称 密 钥 ) 来 
对 要 上 友 送 的 报 文 进行 数字 签名 ， 然 后 将 此 对 称 密 钥 用 接收 方 的 公 钥 来 加 密 〈 这 部 分 称 数 
字 信 封 ) 之 后 ， 再 将 加 密 后 的 对 称 密 钥 连同 经 过 数字 签名 的 报 文 一 起 发 送 给 接收 方 。 接 
收 方 在 收 到 后 ， 首 先 用 自己 的 私 钥 打开 数字 信封 ， 即 可 得 到 发 送 方 的 对 称 密 钥 ， 然 后 再 
用 该 对 称 密 钥 解密 原来 被 数字 签名 的 报 文 , 验证 发 送 方 的 数字 签名 是 否 正 确 。 如 果 正 确 ， 
则 认证 通过 ; 和 否则 认证 失败 。 

对 于 预 共 享 密 钥 认 证 方法 ， 当 有 一 个 对 等 体 对 应 多 个 对 等 体 时 ， 需 要 为 每 个 对 等 体 
配置 预 共 圣 的 密 钥 ， 工 作 量 大 ， 所 以 该 方法 在 小 型 网 络 中 容易 建立 ， 但 安全 性 较 低 。 使 
用 数字 证 书 安全 性 高 ， 但 需要 CA 来 颁发 数字 证 书 ， 适 合 在 大 型 网 络 中 使 用 。 而 数字 信 
封 认证 用 于 设备 需要 符合 国家 密码 管理 局 要 求 时 使 用 (需要 使 用 国家 密码 管理 局 要 求 的 
哈 希 算法 SM3)， 且 此 认证 方法 只 能 在 IKEv1 的 主 模式 协商 过 程 中 支持 。 

以 上 所 提 到 的 用 于 身份 认证 的 各 种 密 钥 都 属于 IKE 认证 密 钥 , 支持 的 算法 有 : MD5、 
SHA1、SHA2-256、SHA2-384、SHA2-$12、SM3。MD5 算法 使 用 128 位 的 密 钥 ，SHA-1 
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算法 使 用 160 位 的 密 钥 ，SHA2-256、SHA2-384、SHA2-512 分 别 采 用 256 位 、384 位 和 
512 位 密 钥 , SM3 使 用 128 位 密 钥 ,它们 之 间 的 安全 性 由 高 到 低 顺 序 是 : SM3>SHA2-512> 
SHA2-384>SHA2-256>SHA1>MD5。 对 于 普通 的 安全 要 求 ， 认 证 算法 推荐 使 用 SHA2-256、 

SHA2-384 和 SHA2-512， 不 推荐 使 用 MD5 和 SHA1， 对 于 安全 性 要 求 特别 高 的 地 方 ， 

可 采用 SM3 算法 。 






TY 以 上 所 涉及 的 身份 认证 密 钥 (包括 预 共 享 密 钥 、 公 / 私 钥 )、 证 书 都 是 作为 发 送 方 
的 “验证 数据 (在 AH 或 ESP 协议 报 文 中 有 此 字段 ， 参 见 本 章 2.1.4 节 ) 要 通过 对 应 方 
式 发 给 对 方 予以 验证 的 。 

2.， 数据 加 密 机 制 

IPSec 的 数据 加 密 机 制 主要 用 在 两 个 方面 : 一 是 在 IKE 协商 阶段 ， 保 护 所 传输 的 用 
于 身份 认证 的 数据 信息 〈 如 共享 密 钥 、 证 书 、 认 证 密 钥 等 )， 二 是 在 IPSec 隧道 建立 后 保 
护 在 隧道 中 传输 的 用 户 数 据 。 但 这 里 所 说 的 数据 加 密 机 制 所 采用 的 对 称 密 钥 机 制 ， 即 加 
密 和 解密 采用 相同 的 密 钥 ， 而 不 是 像 前 面 介绍 的 数字 证 书 身份 认证 和 数字 签名 应 用 中 所 
采用 的 非 对 称 密 钥 体 系 。 

IKE 支持 的 加 密 算法 包括 : DES、3DES、AES-128、AES-192、AES-256、SM1 和 
SM4 等 。 DES 算法 使 用 56 位 密 钥 , 3DES 使 用 168 位 密 钥 , AES-128、AES-192、AES-256 
分 别 使 用 128、192 和 256 位 密 钥 ，SM1 和 SM4 均 使 用 128 位 密 钥 。 这 些 加 密 算法 的 安 
全 级 别 由 高 到 低 的 顺序 是 : SM4 > SM1 > AES-256 > AES-192 > AES-128 > 3DES > DES， 
推荐 使 用 AES-256、AES-192 和 AES-128, 不 推荐 使 用 3DES 和 DES 算法 , SM1 和 SM4 
仅 建 议 在 保密 及 安全 性 要 求 非常 高 的 地 方 采 用 ， 因 为 它们 的 运算 速度 比较 慢 。 非 对 称 密 
钥 体系 中 通常 使 用 的 是 RSA 或 DSA (Digital Signature Algorithm， 数 字 签 名 算法 ) 加 密 
算法 。 

3. DH (Diffie-Hellman ) 密 钥 交换 算法 

Diffie-Hellman 算法 是 一 种 公开 密 钥 算法 。 通信 双方 可 在 不 传送 密 钥 的 情况 下 , 仅 通 
过 交换 一 些 数据 ， 即 可 计算 出 双方 共享 的 密 铀 。 而 且 可 以 做 到 ， 即 使 第 三 方 截获 了 双方 
用 于 计算 密 钥 的 所 有 交换 数据 ， 也 不 足以 计算 出 真正 的 密 钥 。 

DH 主要 用 于 IKE 动态 协商 时 重新 生成 新 的 IPSec SA 所 用 的 密 钥 , 因为 它 可 以 通过 
一 系列 数据 的 交换 ， 最 终 计算 出 双方 共享 的 密 钥 ， 而 不 依赖 于 在 前 期 生成 的 密 钥 生成 材 
料 。 但 DH 没有 提供 双方 身份 的 任何 信息 ， 不 能 确定 交换 的 数据 是 否 发 送 给 合法 方 ， 第 
三 方 可 以 通过 截获 的 数据 与 通信 双方 都 协商 密 钥 、 共 享 通信 ， 从 而 获取 和 传递 信息 ， 所 
以 IKE 还 需要 身份 认证 来 对 对 等 体 身 份 进行 认证 。 

4. PFS 机 制 

PFS (Perfect Forward Secrecy， 完 善 的 前 问安 全 性 ) 是 一 种 安全 特性 ， 指 一 个 密 钥 
被 破解 后 并 不 影 啊 其 他 泌 钥 的 安全 性 ， 因 为 这 些 窗 钥 间 没 有 派生 关系 。 

由 本 章 后 面 的 介绍 就 可 知道 ，IPSec SA 的 密 钥 是 从 IKE SA 的 密 钥 导出 的 。 由 于 一 
个 IKE SA 协商 可 生成 一 对 或 多 对 有 一 定 派生 关系 的 IPSec SA， 所 以 当 IKE 的 密 钥 被 宁 
取 后 ,攻击 者 很 可 能 通过 收集 到 足够 的 信息 来 非法 导出 IPSec SA 的 密 钥 , 这样 就 不 安全 
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了 。 如 果 在 生成 IPSec 阶段 启用 了 PFS， 即 可 通过 执行 一 次 额外 的 DH 交换 ， 生 成 新 的 、 
独立 的 IPSec SA， 这 样 束 可 以 保证 IPSec SA 密 钥 的 安全 了 。 


2.2.3 |IKEv1 密 钥 交换 和 协商 : 第 一 阶段 


上 文 已 提 到 ,IKEv1 版 本 产生 最 终 的 IPSec SA 是 需要 经 过 两 个 阶段 ， 分 别 用 来 建立 
IKE SA 和 IPSec SA。 本 节 先 介绍 第 一 阶段 。 

IKEv1 的 第 一 阶段 的 最 终 目的 是 在 对 等 体 之 间 创 建 了 一 条 安全 通道 ， 建 立 对 等 体 的 
IKE SA。 在 这 个 阶段 中 ，IKE 对 等 体 间 彼此 验证 对 方 ， 并 确定 共同 的 会 话 密 钥 。 这 个 阶 
段 需要 用 到 Diffie-Hellman〈 人 简称 DH) 算法 进行 密 钥 交 换 ， 完 成 IKE SA 建立 ， 使 后 面 
的 第 二 阶段 过 程 的 协商 过 程 受到 安全 保护 。 

在 IKEv1 版 本 中 ,建立 IKE SA 的 过 程 有 主 模 式 (Main Mode) 和 时 下 模式 (Aggressive 
Mode， 也 称 “ 积 极 模式 ”) 两 种 交换 模式 。 下 面 分 别 予 以 介绍 。 

1. 主 模式 

在 IKEv1 的 主 模式 的 IKE SA 建立 过 程 中 ， 包 含 三 次 双 同 消 娠 交换， 用 到 了 六 条 信 
息 ， 交 换 过 程 如 图 2-11 所 示 。 


发 送 方 啊 应 方 


发 送 IKE 安 全 提议 策略 ) 出 查找 匹配 的 下 E 安 全 提议 《策略 ) 


全 痪 议 《 第 几 ) 发 送 确认 的 IKE 安 全 提议 (策略 


©) 
发送 密 角 生 成 信息 | 生成 密 名 
生成 密 负 把 发 送 密 钥 生成 信息 


发 送 密 钥 生 成 信息 


发 送 身份 和 验证 数据 © 身份 验证 和 交换 过 程 验证 
身份 验证 和 交换 过 程 验证 © 发 送 身份 和 验证 数据 


图 2-11 主 模 式 的 密 钥 交 换 和 协商 过 程 示 意 


这 6 条 消息 其 实 总 体 上 是 三 个 步骤 ， 各 包含 两 条 相 邻 编号 的 消息 。 

。 第 一 个 步骤 对 应 的 是 消息 由 和 吧 ， 是 隧道 两 跨 对 等 体 间 通 过 交换 彼此 配置 的 IKE 
策略 协商 好 要 共同 采用 的 IKE 安全 策略 ， 因 为 只 有 双方 都 采用 相同 的 安全 策略 才能 相互 
识别 对 方 加 密 的 数据 ， 并 对 对 方 喘 份 进行 正确 认证 。 

”第 二 个 步骤 对 应 的 是 消息 名 和 中， 是 对 等 体 间 通 过 DH 算法 交换 彼此 的 密 钥 生成 
所 需 的 参数 信息 〈DH 公开 值 和 随机 数 nonce 等 )， 建 立 两 端 相同 的 一 系列 共享 密 钥 ， 主 
要 包括 用 于 在 第 二 阶段 协商 的 喘 份 认证 密 钥 和 协商 数据 的 加 密 密 钥 。 

。 第 三 步 对 应 的 是 消息 和 (@， 用 前 面 已 创建 好 的 加 密 密 钥 彼此 相互 发 送 各 自 的 身份 
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(如 对 等 体 的 卫 地 址 或 名 称 ) 和 验证 数据 (所 采用 的 身份 认证 方式 中 的 密 钥 , 或 证 书 数据 等 )， 
采用 2.2.2 节 介 绍 的 相应 认证 方法 在 对 等 体 间 进 行 身 份 认 证 。 最 终 完 成 下 E SA 的 建立 。 






“在 正式 进行 消息 交换 前 ,发 起 方 和 接收 方 必 须 先 计算 出 各 自 的 cookie (在 ISKMP 
报关 中, 可 以 防 重 放 和 DoS 攻击 ), 这 些 cookie 用 于 标识 每 个 单独 的 协商 交换 消息 。RFC 
建议 将 源 / 目 IP 地 址 、 源 / 目 端口 号 、 本 地 生成 的 随机 数 、 日 期 和 时 间 进 行 散 列 操作 生成 
cOOKkie。cookie 成 为 在 IKE 协商 中 交换 信息 的 唯一 标识 , 在 IKEv1 版 本 中 为 Cookie， 在 
IKEv2 版 本 中 的 Cookie 即 为 IKE 的 SPI (安全 参数 索引 )。 


下 面 再 具体 介绍 以 上 所 提 到 的 这 6 条 消息 。 

(1) 消 肯 岂 和 @ 用 于 IKE 策略 交换 ， 是 一 个 协商 确认 双方 IKE 安全 策略 的 过 程 ， 
但 这 个 交换 过 程 的 框架 是 由 ISAKMP 定义 的 ， 为 SA 的 属性 和 协商 、 人 修改、 删除 SA 的 
方法 提供 了 一 个 通用 的 框架 ， 并 没有 定义 具体 的 SA 格式 。 

在 这 个 过 程 中 ， 发 起 方 发 送 一 个 或 多 个 IKE 安全 提议 [包括 5 元 组 : 认证 方法 ( 数 
字 证 书 认证 、 预 共享 密 钥 认证 或 数字 信封 认证 )、 加 密 算 法 (AES、DES 或 3DES 等 )、 
哈 希 算法 (MD5 或 SHA 等 )、DH 组 、IKE SA 的 生存 期 ]， 响 应 方 在 本 地 查找 最 先 与 收 
到 的 安全 提议 匹配 的 IKE 安全 提议 ， 并 将 这 个 确定 的 IKE 安全 提议 回应 给 发 起 方 ， 使 发 
起 方 获知 双方 共同 确定 的 IKE 策略 。 这 是 为 后 面 能 在 一 个 安全 的 环境 之 下 协商 IPSec SA 
打下 基础 ， 因 为 这 些 IKE 策略 会 直接 提供 对 第 二 阶段 的 IPSec SA 协商 的 加 密 保护 。 

(2) 消 且 @ 和 多 用 于 密 钥 信息 交换 ， 是 一 个 产生 各 种 所 需 密 钥 的 过 程 。 

首先 双方 交换 通过 Diffie-Hellman 算法 计算 出 的 公 铀 和 nonce 值 〈 一 个 随机 数 )， 然 
后 利用 自己 的 公 / 私 钥 、 对 方 的 公 钥 、nonce 值 、 配 置 的 预 共享 密 钥 〈 采 用 预 共享 密 钥 认 
证 方法 时 ) 等 最 终生 成 一 系列 用 于 第 二 阶段 的 共享 密 钥 (两 端 产生 的 密 钥 是 相同 的 )。 例 
如 ， 认 证 密 钥 ( 称 之 为 skeyID_a)、 加 密 密 钥 ( 称 之 为 skeyID e) 以 及 可 用 于 生成 IPSec 
SA 密 钥 的 密 钥 材料 ( 称 之 为 skeyID d)。 认 证 密 钥 用 于 在 IKE 第 二 阶段 协商 中 为 信道 中 
传输 的 协商 数据 〈 非 用 户 数据 ) 进行 认证 ; 加密 密 钥 用 于 在 IKE 第 二 阶段 协商 中 为 信道 
中 传输 的 协商 数据 进行 加 密 。 






| “如 果 采 用 预 共 享 密 钥 认 证 方法 ， 为 了 正确 生成 以 上 各 窗 钥 ， 每 一 个 对 等 体 必 须 找 
到 与 对 方 相对 应 的 预 共 享 密 钥 ， 当 有 多 个 对 等 体 连 接 时 ， 每 一 对 对 等 体 的 两 端 都 需要 配 
置 一 个 相同 的 共享 密 铀 。 

(3) 消息 @ 和 @ 用 于 对 等 体 间 的 身份 信息 (如 对 等 体 的 他 地 址 或 名 称 ) 和 验证 数据 〈 所 
采用 的 身份 认证 方式 中 的 密 钥 ， 或 证 书 数据 等 )， 双 方 进行 身份 认证 。 这 个 过 程 的 信息 交换 
是 受 前 面 生 成 的 加 密 密 钥 (skeyID_ e) 进行 加 密 保 护 的 。 当 相互 认证 通过 后 ， 对 等 间 的 IKE 
SA 建立 就 完成 了 ， 第 二 个 阶段 协商 IPSec SA 所 希 的 安全 通道 就 会 立即 建立 ， 两 端的 VPN 
设备 就 可 用 第 一 个 阶段 协商 的 安全 策略 对 第 二 阶段 协商 IPSec SA 进行 安全 加 密 和 认证 。 

2， 野 变 模 式 

如 图 2-12 所 示 ， 野 蛮 模 式 只 用 到 三 条 信息 ， 消 息 四 和 的 用 于 在 对 等 体 间 协商 IKE 
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安全 集 略 ,交换 DH 公 钥 、 必 需 的 辅助 信息 和 吴 份 信息 〈 通 种 不 以 IP 地 址 进行 标识 ， 而 
是 以 主机 名 进行 标识 的 )。 


发 送 IKE 安全 提议 策略 )、 查找 匹配 的 IKE 安全 提议 
密 钥 生成 信息 和 身份 信息 《策略 )、 生 成 密 钥 和 身份 验证 





接收 IKE 安全 提议 发 送 密 钥 生成 信息 、 身 
(策略 ) 和 生成 密 钥 份 信息 和 验证 数据 


图 2-12 ”野蛮 模式 的 密 钥 交 换 和 协商 过 程 示意 


(1) 消息 中 中 包括 了 发 起 方 提供 给 啊 应 方 的 IKE 安全 策略 、 本 端 密 钥 生成 信息 〈 本 
端的 DH 公 铀 ) 和 身份 信息 〈 主 要 是 对 等 体 名 称 )， 响 应 方 在 收 到 这 些 信 息 后 ， 首 先 也 是 
要 在 本 地 查找 与 发 起 方 发 来 的 IKE 安全 策略 匹配 的 策略 ， 如 果 找 到 即 确定 作为 共同 的 
IKE 策略 。 然 后 利用 确定 的 IKE 安全 策略 、 发 起 方 发 来 的 密 钥 生成 信息 ， 以 及 本 端的 
DH 公 / 私 钥 ， 一 个 nonce 随机 数 生 成 认证 密 钥 和 加 密 密 钥 ， 并 根据 发 起 方 发 来 的 身份 信 
县 对 发 起 方 的 身份 进行 初步 的 验证 。 

(2) 消息 包 中 仅 包括 啊 应 方 的 密 钥 生 成 信息 、 喘 份 信息 ， 以 及 啊 应 方 用 于 喘 份 验证 
的 验证 数据 《包括 所 采用 的 身份 认证 机 制 中 的 密 钥 、 证 书 等 ) 发 给 发 起 方 ， 发 起 方 在 收 
到 后 获知 最 终 和 采用 的 IKE 策略 ， 并 利用 啊 应 方 的 公 铀 、 本 端的 公 / 私 铀 ， 以 及 一 个 nonce 
随机 数 生成 一 系列 密 钥 (正确 情况 下 ， 与 响应 方 生成 的 密 钥 是 相同 的 )， 并 根据 响应 方 发 
来 的 身份 信息 和 验证 数据 对 响应 方 进行 最 终 的 身份 验证 。 

(3) 消息 @ 是 发 起 方 根据 已 确定 的 IKE 策略 ， 把 自己 的 验证 数据 (包括 所 采用 的 身 
份 认 证 机 制 中 的 密 铀 、 证 书 等 ) 发 给 响应 方 ， 让 响应 方 最 终 完 成 对 发 起 方 的 身份 验证 。 
至 此 整个 信息 交换 过 程 就 完成 了 ， 进 入 第 二 阶段 IPSec SA 建立 了 。 

由 图 2-11 和 图 2-12 的 对 比 可 以 发 现 ， 与 主 模式 相 比 ， 野 蛮 模 式 减 少 了 交换 信息 的 
数目 ， 提 高 了 协商 的 速度 ， 但 是 没有 对 身份 信息 和 验证 数据 进行 加 密 保护 ， 因 为 双方 在 
发 送 身份 信息 时 〔 对 应 第 也 和 第 @ 条 消息 ) 是 不 加 密 的 〈 但 主 模式 中 发 送 的 身份 信息 和 
验证 数据 是 加 密 的 ， 对 应 第 @@ 和 第 @) 条 消息 )。 但 虽然 野蛮 模式 不 提供 身份 保护 ， 它 仍 可 
以 满足 某 些 特定 的 网 络 环境 需求 。 

。 当 IPSec 隧道 中 存在 NAT 设备 时 ， 需 要 启用 NAT 穿越 功能 ， 而 NAT 转换 会 改变 
对 等 体 的 卫 地 址 ， 由 于 野蛮 模式 不 依赖 于 IP 地 址 标识 身份 ， 使 得 如 果 采 用 预 共 享 密 钥 
验证 方法 时 ，NAT 穿越 只 能 在 野 亦 模式 中 实现 。 

e。 如 朵 发 起 方 的 IP 地 址 不 固定 或 者 无 法 预知 , 而 双方 都 希望 采用 预 共享 密 钥 验 证 方 
法 来 创建 KE SA， 则 只 能 采用 野蛮 模式 。 

。 如 果 发 起 方 已 知 响应 方 的 策略 ， 或 者 对 响应 者 的 策略 有 全 面 的 了 解 ， 采 用 野蛮 模 
式 能 够 更 快 地 创建 IKE SA。 

【经 验 提示 】 主 模式 和 野 变 模式 在 确定 预 共享 密 钥 的 方式 不 同 。 主 模式 只 能 基于 IP 
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地 址 来 确定 预 共 享 密 钥 。 而 野蛮 模式 是 基于 ID 信息 (主机 名 或 IP 地 址 ) 来 确定 预 共 享 
密 钥 。 当 对 等 体 两 端 都 是 以 主机 名 方式 标识 的 时 候 ， 就 一 定 要 用 野蛮 模式 来 协商 ， 如 果 
用 主 模 式 的 话 , 就 会 出 现 根 据 源 IP 地 址 找 不 到 预 共 享 密 钥 的 情况 , 以 至 于 不 能 生成 窗 铀 ， 
因为 主 模式 在 交换 完 第 @、 四 条 消息 以 后 ， 需 要 使 用 预 共享 密 钥 来 计算 密 钥 ， 但 是 由 于 
双方 的 身份 信息 要 在 第 @、(@ 条 消息 中 才 会 被 发 送 。 而 在 野 变 模 式 中 ， 主 机 ID 信息 (IP 
地 址 或 者 主机 名 ) 在 消息 由 、 四 中 就 已 经 发 送 了 ， 对 方 可 以 根据 ID 信息 查找 到 对 应 的 
预 共享 密 钥 ， 从 而 计算 出 窗 钥 。 


2.2.4 ”1IKEv1 密 钥 交换 和 协商 : 第 二 阶段 


IKEv1 版 本 的 第 二 阶段 就 是 要 在 第 一 阶段 基础 上 最 终 建 立 一 对 IPSec SA， 它 只 有 一 
种 模式 ， 即 快速 模式 (Quick Mode)。 快 速 模式 的 协商 是 受 IKE SA 保护 的 ， 整 个 协商 过 
程 如 图 2-13 所 示 。 


发 送 IPSec 安全 提议 《策略 入 查找 匹配 的 IPSec 安全 提议 
身份 信息 和 验证 数据 (策略 )， 生 成 密 钥 


接收 IPSec 安全 提议 发 送 确认 的 IPSec 安全 提 
(策略 )， 生 成 密 角 议 、 身 份 信息 和 验证 数据 





发 送 确认 信息 3 接收 信息 
图 2-13 ”快速 模式 协商 过 程 示意 
A 


在 快速 模式 的 协商 过 程 中 主要 是 完成 以 下 IPSec SA 安全 策略 的 确定 : 

。 使 用 哪 种 IPSec 安全 协议 : AH 或 ESP。 

。 使 用 哪 种 HASH 算法 (认证 算法 ):; MD5 或 SHA。 

。 使 用 哪 种 IPSec 工作 模式 : 隧道 模式 或 传输 模式 。 

。 是 否 要 求 加 密 ， 若 是 ， 选 择 加 密 算法 : 3DES 或 DES。 

e。 可 选 支持 PFS (Perfect Forward Secrecy， 完 善 的 前 向 安全 性 )。 

在 上 述 几 方面 达成 一 致 后 ， 将 建立 起 两 个 IPSec SA， 分 别 用 于 入 站 和 出 站 通信 。 

在 消息 和 @ 中 的 IPSec 安全 提议 包括 了 安全 协议 、SPI、IPSec 封装 模式 、PFS (可 
选 )、IPSec SA 生存 周期 等 。 这 两 条 消息 中 还 包括 双方 的 身份 信息 〈 如 卫 地 址 、 传 输 层 
端口 )， 验 证 数据 (包括 所 采用 的 身份 认证 机 制 中 的 密 钥 、 证 书 等 )， 以 及 nonce (一 个 
随机 数 ， 用 于 抗 重 放 ， 还 被 用 作 密 码 生成 的 材料 ， 仅 当局 用 PFS 时 用 到 )。 接 收 方 会 利 
用 所 收 到 的 对 方 数 据 生 成 加 密 密 钥 ， 消 息 @ 为 确认 消息 ， 通 过 确认 发 送 方 收 到 该 阶段 的 
消息 包 ， 使 响应 方 获知 可 以 正式 通信 了 。 


2.2.5 1IKEv2 密 钥 协商 和 交换 


通过 以 上 的 学 习 我 们 了 解 到 ，IKEv1 需要 经 历 两 个 阶段 ， 至 少 交 换 6 条 消息 才能 
终 建立 一 对 IPSec SA， 而 IKEvV2 在 保证 安全 性 的 前 提 下 , 减少 了 传递 的 信息 和 交换 的 次 
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数 ， 实 现 起 来 更 简单 。 

1. IKEv2 概述 

IKEv2 保留 了 IKEv1 的 大 部 分 特性 ， 而 且 IKEv1 的 一 部 分 扩展 特性 (如 NAT 穿越 ) 
作为 IKEvV2 协议 的 组 成 部 分 被 引入 到 IKEv2 框架 中 。 与 IKEv1 不 同 , IKEv2 中 所 有 消息 
都 以 “请 求 -响应 ”的 形式 成 对 出 现 ， 响 应 方 都 要 对 发 起 方 发 送 的 消息 进行 确认 ， 如 果 在 
规定 的 时 间 内 没有 收 到 确认 报 文 ， 发 起 方 需要 对 报 文 进行 重 传 处 理 ， 提 高 了 安全 性 。 

IKEv2 还 可 以 防御 DoS 攻击 。 在 IKEv1 中 ， 当 网 络 中 的 攻击 方 一 直 重 放 消 息 ， 啊 应 
方 需要 通过 计算 后 ， 对 其 进行 啊 应 而 消耗 设备 资源 ， 造 成 对 响应 方 的 DoS 攻击 。 而 在 
IKEv2 中 ， 啊 应 方 收 到 请 求 后 ， 并 不 急于 计算 ， 而 是 先 加 发 起 方 发 送 一 个 cookie 类 型 的 
Notify 载荷 〈 即 一 个 特定 的 数值 )， 两 者 之 后 的 通信 必须 保持 cookie 与 发 起 方 之 间 的 对 
应 关系 ， 有 效 防 御 了 DoS 攻击 。 

IKEv2 定义 了 三 种 交换 类 型 : 初始 交换 (Initial Exchanges)、 创 建 子 SA 交换 (Create 
Child SA Exchange) 以 及 通知 交换 (Informational Exchange )。IKEv2 通过 初始 交换 就 可 
以 完成 一 个 IKE SA 和 第 一 对 IPSec SA 的 协商 建立 。 如 果 要 求 建 立 的 IPSec SA 大 于 一 对 
时 ， 每 一 对 IPSec SA 值 只 需要 额外 增加 一 次 创建 子 SA 交换 (而 如 果 采 用 IKEv1， 则 子 
IPSec SA 的 创建 仍然 需要 经 历 两 个 阶段 )。 

2. IKEv2 初始 交换 

IKEv2 初始 交换 对 应 IKEvV1 的 第 一 阶段 ,初始 交换 包含 两 次 交换 四 条 消息 ,如 图 2-14 
所 示 。 消 息 也 和 属于 第 一 次 交换 ， 以 明文 方式 完成 IKE SA 的 参数 协商 ， 主 要 是 协商 
加 密 算法 、 交 换 nonce 值 、 完 成 一 次 DH 交换 ， 从 而 生成 用 于 加 密 ， 并 验证 后 续 交 换 的 
密 钥 材料 。 消 明和 岂 属 于 第 二 次 交换 ， 以 加 密 方式 完成 喘 份 认证 (通过 交换 身份 信息 
和 验证 数据 )、 对 前 两 条 信息 的 认证 和 IPSec SA 的 参数 协商 。 


发 起 方 响应 方 


CD 
接收 参数 © 发 送 匹 配 的 IKE SA 参数 
ee © . pp 
发 送 号 份 信息 身份 验证 和 交换 过 程 验证 
ee 出 ee 
身份 验证 和 交换 过 程 验证 发 送 身份 信息 





图 2-14 IKEv2 初始 交换 过 程 


3. 创建 子 SA 交换 

在 初始 交换 完成 后 ， 可 以 由 任何 一 方 发 起 创建 子 SA 交换 ， 该 次 交换 中 的 发 起 者 和 
初始 交换 中 的 发 起 者 可 能 是 不 同 的 。 该 交换 必须 在 初始 交换 完成 后 进行 ， 交 换 消 息 由 初 
始 交 换 协 商 的 密 钥 进行 体 护 。 

创建 子 SA 交换 包含 两 条 消息 ， 用 于 一 个 IKE SA 创建 多 个 IPSec SA 或 IKE 的 重 协 
商 ， 对 应 IKEv1 的 第 二 阶段 。 如 果 和 需要 文 持 PFS， 创 建 子 SA 交换 可 额外 进行 一 次 DH 
交换 ， 建 立 用 于 IPSec SA 的 新 密 钥 。 
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4. 通知 交换 

通信 双方 在 密 钥 协商 期 间 ， 茶 一 方 可 能 希望 同 对 方 发 送 控制 信息 ， 通 知 茶 些 错误 或 
者 茶 事 件 的 发 生 ， 这 束 需 要 由 “通知 交换 ”过 程 来 完成 。 

通知 交换 如 图 2-15 所 示 , 用 于 对 等 体 间 传递 一 些 控 制 信息 , 如 错误 信息 、 删除 消 恩 ， 
或 通知 信息 。 收 到 信息 消息 的 一 方 必须 进行 啊 应 ， 啊 应 消 有 乱 中 可 能 不 包含 任何 载 傈 。 通 
知 交 换 只 能 发 生 在 初始 交换 之 后 ,其 控制 信息 可 以 是 IKE SA 的 (由 IKE SA 保护 该 交换 )， 
也 可 以 是 子 SA 的 (由 子 SA 保护 该 交换 )。 


响应 方 响应 方 
山 
发 送 控制 信息 根据 控制 信息 进行 相应 操作 
接收 信息 © 回应 控制 信息 


图 2-15 通知 交换 过 程 






2.3 IPSec 保护 数据 流 和 虚拟 隧道 接口 


在 IPSec 通信 中 涉及 到 一 个 重要 方面 ， 那 就 是 如 何 定 义 要 保护 的 数据 流 〈《 也 称 “ 兴 
趣 流 ”)， 因 为 这 涉及 到 上 发 要 通过 IPSec 保护 哪 部 分 的 数据 流 。 而 在 定义 保护 数据 流 叉 涉 
及 到 其 中 一 种 基于 隧道 接口 的 方式 , 所 以 本 市 专门 介绍 IPSec 保护 数据 流 的 定义 和 IPSec 
隧道 接口 。 \ 


2.3.1 保护 数据 流 的 定义 万 式 


“保护 数据 流 的 定义 ”就 是 指定 哪些 数据 流 要 进入 到 IPSec 隧道 传输 ， 其 他 的 数据 流 
不 能 进入 IPSec 隧道 传输 。 在 华为 AR G3 系列 路 由 器 中 ，IPSec 对 需要 保护 的 数据 流 的 
定义 有 基于 “基于 ACL”“ 基 于 虚拟 隧道 接口 ”和 “基于 Efficient VPN 策略 建立 IPSec 
隧道 ”三 种 方式 ， 下 面 分 别 予 以 介绍 。 

1 区 于 AL 这 式 

我 们 知道 , 高 级 IPACL 可 以 基于 源 /目的 卫 地 址 、 源 /目的 端口 等 信息 对 数据 报 文 进 
行 过 滤 ， 而 这 正 可 以 用 来 对 允许 进入 IPSec 隧道 的 数据 流 进行 过 滤 。 

当 采 用 ACL 方式 来 定义 需要 保护 的 数据 流 时 ， 手 工 方式 和 IKE 动态 协商 方式 建立 
的 IPSec 隧道 是 由 高 级 IPACL 来 指定 要 保护 的 数据 流 范 围 ， 和 烯 选 出 需要 进入 IPSec 隧道 
的 报 文 。ACL 规则 允许 〈permit) 的 报 文 将 被 保护 ，ACL 规则 拒绝 〈deny) 的 报 文 将 不 
被 保护 。 因 为 这 里 的 ACL 是 高 级 IPACL, 所 以 可 以 明确 指定 数据 流 中 的 源 /目的 卫 地址 、 
源 / 目 的 传输 层 痛 口 、 协 议 类 型 等 参数 。 但 这 里 的 源 / 目 的 IP 地 址 是 指数 据 发 送 方 和 数据 
接收 方 主机 的 卫 地 址 ， 通 常 是 两 端 内 部 网 络 中 的 私 网 卫 地 址 。 

这 种 基于 ACL 来 定义 数据 流 的 方式 的 优点 是 可 以 利用 ACL 配置 的 灵活 性 ,根据 IP 
地 址 、 传 输 层 端口 、 协 议 类 型 (如 IP、ICMP、TCP、UDP 等 ) 等 对 报 文 进行 过 滤 进 而 
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灵活 制定 IPSec 的 保护 方法 。 本 章 以 及 第 3 章 介绍 的 IPSec VPN 方案 配置 与 管理 中 都 采 
用 这 种 定义 方式 。 

2. 基于 虚拟 隧道 接口 方式 

基于 虚拟 隧道 接口 来 定义 需要 保护 的 数据 流 ， 首 先 就 要 在 两 端的 IPSec 设备 创建 一 
个 虚拟 的 隧道 接口 Tunnel, 然后 通过 配置 以 该 Tunnel 接口 为 出 接口 的 静态 路 由 ， 以 限定 
到 达 哪 个 目的 子 网 的 数据 流 可 以 通过 IPSec 隧道 进行 转发 。 因 为 Tunnel 接口 是 点 对 点 类 
型 的 接口 ， 是 运行 PPP 链 路 层 协议 的 ， 所 以 以 该 接口 为 出 接口 的 静态 路 由 是 可 不 指定 下 
一 跳 卫 地 址 的 。 

IPSec 虚拟 隧道 接口 是 一 种 三 层 罗 辑 接 口 , 采 用 这 种 方式 时 所 有 路 由 到 IPSec 虚拟 了 
道 接口 的 报 文 都 将 进行 IPSec 保护 ， 不 再 对 数据 流 类 型 进行 区 分 。 但 使 用 IPSec 虚拟 隧 
道 接口 建立 IPSec 隧道 仍 具 有 以 下 优点 : 

(1) 简化 配置 

只 需 将 需要 IPSec 保护 的 数据 流 引 到 虚拟 隧道 接口 ， 无 需 使 用 ACL 定义 待 加 /解密 
的 流量 特征 。 使 得 IPSec 的 配置 不 会 受到 网 络 规 划 的 影响 ,增强 了 网 络 规 划 的 可 扩展 性 ， 
降低 了 网 络 维护 成 本 。 

(2) 减少 开销 

在 保护 远程 接 入 用 户 流量 的 组 网 应 用 中 ， 只 需 在 了 PSec 虚拟 隧道 接口 处 进行 IPSec 
报 文 封装 ,与 IPSec over GRE 或 者 IPSec over L2TP 方式 的 隧道 封装 相 比 , 无需 额 外 为 进 
入 隧道 的 流量 加 封装 GRE 头 或 者 L2TP 头 ， 减 少 了 报 文 封装 的 层次 ， 节 省 了 带宽 。 

(3) 支持 范围 更 广 

点 对 点 IPSec 虚拟 隧道 接口 可 以 支持 动态 路 由 协议 ， 同 时 还 可 以 支持 对 组 播 流 量 的 
保护 。 另 外 ，IPSec 虚拟 隧道 接口 在 实施 过 程 中 明确 地 区 分 出 “加 密 前 ”和 “加 密 后 ” 
两 个 阶段 ， 用 户 可 以 根据 不 同 的 组 网 需求 灵活 选择 其 他 业务 (例如 NAT、QoS) 实施 的 
阶段 。 例 如 ， 如 果 用 户 锅 望 对 IPSec 封装 前 的 报 文 应 用 QoS， 则 可 以 在 IPSec 虚拟 隧道 
接口 上 应 用 QoS 策略 ; 如果 和 希望 对 IPSec 封装 后 的 报 文 应 用 QoS， 则 可 以 在 进入 对 端 内 
部 网 络 的 物理 接口 上 应 用 QoS 策略 。 

3. 基于 Efficient VPN 策略 建立 IPSec 隧道 

Efficient VPN 采用 C/S 结构 ， 其 主要 特点 是 它 将 IPSec 及 其 他 相应 配置 都 集中 在 
Server 只 〈 总 部 网 关 )， 当 Remote 辣 (分支 网 天 ) 配置 好 基本 参数 后 ，Remote 端 即 可 回 
Server 端 发 起 协商 并 与 建立 IPSec 隧道 ， 然 后 Server 端 将 IPSec 的 其 他 相关 属性 及 其 他 
网 络 资源 “推送 ”给 Remote 端 ，Remote 端 和 Server 端 就 直接 定义 了 哪 部 分 数据 流 是 需 
要 保护 的 , 简化 了 分 支 网 关 的 IPSec 和 其 他 网 络 资源 的 配置 和 维护 。 另 外 ，Eftficient VPN 
还 文 持 远 程 站 点 设备 的 自动 升级 。 

有 关 基 于 虚拟 隧道 接口 和 基于 Efficient VPN 策略 定义 需要 保护 的 数据 流 的 IPSec 
VPN 方案 的 具体 配置 与 管理 方法 将 在 本 书 第 4 章 介绍 。 


2.3.2 IPSec 虚拟 隧道 接口 


IPSec 虚拟 隧道 接口 〈( 即 Tunnel 接口 ) 是 一 种 支持 路 由 的 三 层 逻 辑 接 口 ， 它 可 以 文 
持 动 态 路 由 协议 ， 所 有 路 由 到 IPSec 虚拟 隧道 接口 的 报 文 都 将 进行 IPSec 保护 ， 同 时 还 
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可 以 文 持 对 组 播 流 量 的 保护 。 

通过 之 前 的 学 习 我 们 已 经 了 解 到 ， 用 户 数 据 一 方面 要 通过 IPSec 虚拟 隧道 传输 ， 必 
须 首 先 要 进行 各 种 协议 封装 (如 AH、ESP 协议 封装 ) 和 加 密 ， 才 能 按照 IPSec 隧道 建立 
时 定 下 的 安全 策略 对 用 户 数据 进行 安全 传输 ， 并 且 可 以 传输 到 隧道 对 端 所 连接 的 另 一 个 
私有 网 络 设备 上 。 另 一 方面 ， 当 通过 IPSec 传输 的 数据 安全 到 达 隧 道 对 端 接口 时 ， 为 了 

能 使 目的 设备 识别 源 设 备 发 送 的 数据 内 容 ， 必 须 把 原来 经 过 封装 和 加 密 的 数据 进行 解 封 

闭 和 解密 。 这 些 对 数据 的 封装 / 解 封装 、 加 密 / 解 密 的 过 程 都 是 发 生 在 虚拟 的 隧道 接口 上 
的 。 下 面 答 单 介 绍 IPSec 隧道 两 端 虚 拟 隧道 接口 的 数据 处 理 基 本 流程 。 

1. IPSec 隧道 接口 的 数据 封装 和 加 密 基本 流程 

用 户 数 据 到 达 IPSec 设备 〈 如 路 由 器 ) 后 ， 需 要 IPSec 保护 的 报 文 (即兴 趣 流 ) 会 
被 转发 到 IPSec 虚拟 隧道 接口 上 进行 封装 和 加 密 ， 如 图 2-16 所 示 。 





图 2-16 IPSec 隧道 接 | 口 对 报 文 封装 和 加 密 的 过 程 示 意 


(1) Router 将 从 入 接口 接收 到 明文 IP 报 文 后 送 到 转发 模块 进行 处 理 ; 

(2) 转发 模块 依据 路 由 查询 结果 ,发 现 如 果 是 要 保护 的 数据 流 ， 则 将 其 发 送 到 IPSec 
虚拟 隧道 接口 进行 AH 或 ESP 封装 ， 具 体 的 封装 方法 参见 本 章 2.1.2 节 ; 

(3) IPSec 虚拟 隧道 接口 完成 对 明文 IP 报 文 的 封装 处 理 后 ,根据 建 立 的 IPSec SA 安 
全 策略 再 将 封装 后 的 报 文 进行 加 密 ， 然 后 再 将 加 密 后 的 密 文 转发 模块 进行 处 理 ; 

(4) 转发 模块 再 通过 第 二 次 路 由 查询 后 , 将 已 封 疾 和 加 密 的 IP 报 文通 过 隧道 接口 对 
应 的 实际 物理 接口 转发 出 去 ， 直 到 对 问 的 IPSec 设备 Tunnel 接口 。 

2. IPSec 隧道 接口 的 数据 解 封装 和 解密 基本 流程 

数据 经 过 IPSec 隧道 传输 到 达 对 端 IPSec 设备 时 ， 需 要 对 数据 进行 解 封 装 和 解密 ， 
其 基本 过 程 如 图 2-17 所 示 。 


密 文 数据 包 





图 2-17 IPSec 隧道 接口 的 数据 解 封装 和 解密 基本 流程 
(1) Router 将 从 入 接口 接收 到 已 加 密 的 IP 报 文 后 送 到 转发 模块 进行 处 理 ; 
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(2) 转发 模块 识别 到 此 密 文 的 目的 IP 地 址 为 本 设备 的 隧道 接口 IP 地 址 ， 且 IP 协 
议 号 为 AH 或 ESP 时 , 会 将 IP 密 文 送 到 相应 的 IPSec 虚拟 隧道 接口 进行 相应 的 解 封 狠 
处 理 ; 

(3) IPSec 虚拟 隧道 接口 完成 对 卫 密 文 的 解 封装 处 理 之 后 ， 再 进行 相应 的 解 封装 处 
理 ， 然 后 再 将 IP 明文 重新 送 回 转发 模块 处 理 ; 

(4) 转 发 模块 再 进行 第 二 次 路 由 查询 后 ,将 IP 明文 从 隧道 的 实际 物理 接口 转发 出 去 ， 
根据 内 网 路 由 到 达 目 的 设备 上 。 


2.4 配置 基于 ACL 方式 手工 建立 IPSec 隧道 


前 面 各 节 介绍 了 IPSec 的 一 些 相 关 基 础 知识 和 技术 原理 ， 从 本 节 开 始 就 要 正式 介绍 
华为 AR G3 系列 路 由 器 中 的 各 种 IPSec VPN 方案 的 具体 配置 方法 了 。 

前 面 已 介绍 到 , 在 华为 AR G3 系列 路 由 器 的 IPSec 建立 中 需要 保护 的 数据 流 的 定义 
有 三 种 方式 , 其 中 应 用 最 为 普遍 的 就 是 基于 ACL 方式 , 所 以 本 节 先 来 介绍 这 种 方式 下 的 
IPSec VPN 方案 的 具体 配置 方法 ， 其 他 两 种 方式 的 具体 配置 方法 将 在 本 章 后 和 面 介绍 。 但 
IPSec VPN 方案 的 配置 又 不 仅 存在 定义 需要 保护 的 数据 流 的 方式 的 不 同 ， 还 存在 安全 策 
略 的 建立 方式 的 不 同 ， 有 手工 方式 ， 也 有 IKE 动态 协商 方式 。 本 节 先 仅 介 绍 在 采用 基于 
ACL 定义 需要 保护 的 数据 流 时 ， 通 过 手工 方式 IPSec 隧道 的 配置 方法 。 

在 采用 ACL 方式 手工 建立 IPSec 隧道 之 前 ， 需 完成 以 下 任务 : 

。 实现 双方 到 达 对 端的 公 / 私 网 路 由 的 畅通 。 

。 通过 高 级 ACL 确定 需要 IPSec 保护 的 数据 流 。 

。 确定 数据 流 被 保护 的 强度 ， 即 确定 使 用 的 IPSec 安全 提议 的 参数 。 


2.4.1 手工 方式 配置 任务 及 基本 工作 原理 


本 节 先 来 具体 介绍 基于 ACL 手工 方式 建立 IPSec 隧道 方案 的 基本 配置 任务 , 然后 再 
基于 这 些 配置 任务 介绍 手工 方式 建立 IPSec VPN 方案 的 基本 工作 原理 。 

1. 手工 方式 建立 IPSec 隧道 的 基本 配置 任务 

基于 ACL 方式 手工 建立 IPSec 隧道 的 配置 任务 如 下 (两 端 都 要 配置 )。 

(1) 定义 需要 保护 的 数据 流 

这 里 采用 高 级 ACL， 对 要 保护 的 数据 流 的 源 / 目 的 IP 地 址 等 信息 进行 限制 ， 仅 允许 
指定 的 数据 流 进入 IPSec 隧道 中 传输 。 这 里 通常 采用 镜像 配置 ， 也 就 是 两 端的 ACL 所 配 
置 的 源 、 目 的 IP 地 址 等 信息 对 调 。 

(2) 确定 IPSec 安全 提议 

IPSec 安全 提议 是 安全 策略 或 者 安全 框架 的 一 个 组 成 部 分 ， 相 当 于 一 端 癌 男 一 端 提 
出 的 安全 建议 ， 定 义 了 IPSec 的 保护 方法 ， 为 IPSec 协商 SA 提供 各 种 安全 参数 (IPSec 
隧道 两 端 设备 需要 配置 必须 相同 )。 这 些 参数 包括 确定 所 采用 的 安全 协议 (AH 或 ESP， 
或 者 同时 采用 )、 认 证 算法 (MD5、SHA-1、SHA-2 和 SM3 等 )、 加 密 算法 (DES、3DES、 
SM1 等 )、 报 文 封装 格式 (传输 模式 或 隧道 模式 )。 
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(3) 配置 安全 策略 

安全 策略 是 两 端 建立 SA 的 基础 信息 ,包括 引用 前 面 定 义 的 数据 流 保护 ACL 和 IPSec 
安全 提议 ， 配 置 IPSec 隧道 的 起 点 和 终点 IP 地 址 、SA 出 /入 方向 的 SPI 值 、SA 出 /入 方 
问安 全 协议 的 认证 密 钥 和 加 密 密 钥 ,以 及 一 些 可 选 的 扩展 参数 ,包括 IPSec 隧道 VPN 实 
例 的 绑 定 、 原 始 报 文 信息 预 提取 功能 、 对 IPSec 解 封 装 报 文 进行 ACL 检查 、 报 文 分 片 
功能 等 。 在 手工 方式 建立 IPSec 隧道 情形 下 ， 这 些 安全 策略 参数 都 必须 以 手工 方式 具 
体 指 定 。 

【经 验 提 示 】 从 以 上 的 介绍 可 以 看 到 ， 采 用 手工 方式 建立 IPSec 隧道 时 ,必须 配置 好 
对 端的 卫 地址， 这 就 要 求 两 端的 IPSec 设备 公 网 侧 接 口 必须 有 固定 的 公 网 IP 地 址 ， 这 
也 决定 了 手 式 方式 是 不 适合 采用 PPPOE 等 动态 卫 地 址 分 配方 式 接 入 Internet 的 ， 包 括 移 
动 办 公用 户 直 接 通 过 拨号 方式 与 公司 总 部 建立 IPSec VPN 的 情形 都 是 不 能 采用 手工 方式 

在 安全 策略 的 配置 中 ， 两 端的 许多 参数 也 是 需要 镜像 配置 的 ， 即 一 端的 本 地 配置 要 
与 另 一 端的 远程 配置 一 致 ， 同 理 ， 一 端的 远程 配置 要 与 另 一 端的 本 地 配置 一 致 ， 如 IPSec 
隧道 的 起 点 和 终点 、SA 出 /入 方向 的 SPI 值 、SA 出 /入 方向 安全 协议 的 认证 密 钥 和 加 密 
密 钥 等 。 

(4) 在 接口 上 应 用 安全 策略 

在 手工 方式 建立 IPSec 隧道 情形 下 ， 安 全 策略 的 应 用 是 在 IPSec 隧道 两 端 公 网 侧 物 
理 接口 下 进行 的 。 

2. 手工 方式 IPSec VPN 方案 的 基本 工作 原理 

从 以 上 配置 任务 可 以 看 出 ， 在 手工 方式 建立 IPSec 隧道 的 方案 中 ， 只 要 双方 配置 好 
对 称 的 安全 策略 就 可 以 成 功 建立 IPSec SA 和 IPSec 隧道 ， 整 个 配置 思路 和 配置 任务 也 比 
较 人 简单 。 

” “结合 以 上 配置 任务 介绍 和 在 2.1.2 市 所 介绍 的 IPSec 封装 模式 特点 , 也 可 以 得 出 手工 
方式 IPSec VPN 方案 的 以 下 基本 工作 原理 。 

(1) 位 于 一 端 私 网 中 的 用 户 向 位 于 对 端 私 网 中 的 用 户 发 送 数 据 ， 到 达 本 端 IPSec 设 
备 时 ， 由 于 这 些 数据 流 与 定义 需要 保护 的 数据 流 的 ACL 匹配 , 于 是 设备 获知 这 些 数据 要 
通过 IPSec 隧道 传输 。 

(2) 在 采用 隧道 封装 模式 时 ，IPSec 设备 会 把 这 些 用 户 数据 报 文 重新 封装 ， 不 仅 会 
加 装 所 选 定 的 AH 或 ESP 协议 头 ， 还 会 新 增 一 个 卫 报头 《原来 的 全 报头 及 数据 部 分 全 
作为 新 IP 报 文 的 数据 部 分 )。 这 个 新 IP 报头 的 源 IP 地 址 为 本 端 IPSec 设备 端点 接口 的 
IP 地 址 ， 目 的 IP 地 址 为 对 端 IPSec 设备 端点 接口 的 卫 地 址 。 

(3) 本 端 IPSec 设备 根据 所 配置 的 到 达 对 端 公 网 的 静态 路 由 把 重新 封 后 的 新 IP 报 文 
传输 到 对 端 IPSec 设备 上 。 

(4) 到 达 对 端 IPSec 设备 后 ,会 去 挥 原 来 新 加 的 IP 报头 及 AH 头 或 ESP 头 ， 把 原始 
的 用 户 IP 报 文 还 原 出 来 ， 这 时 就 可 以 根据 IP 报 文中 的 目的 卫 地 址 (就 是 目的 主机 所 在 
网 段 )， 利 用 对 端 路 由 器 设备 上 配置 的 到 达 所 连接 私 网 的 路 由 表 项 ， 把 用 户 IP 报 文 传输 
到 目的 主机 上 ， 这 样 就 完成 了 整个 从 一 端 私 网 到 另 一端 私 网 数据 的 传输 。 

【经 验 之 谈 〗 在 手工 方式 配置 IPSec VPN 方案 中 ， 上 面 所 列 的 配置 任务 中 ， 其 实 总 


第 2 章 IPSec 基础 及 手工 方式 IPSec VPN 配置 与 管理 75 


体 来 说 就 两 项 ， 前 面 的 第 (1) ~ (3) 项 配置 任务 其 实 就 是 一 项 ， 就 是 配置 IPSec 安全 
策略 (第 (1) 和 第 (2) 项 配置 都 在 第 (3) 中 被 引用 ) ， 最 后 就 是 在 接口 应 用 这 个 安全 
策略 ， 也 就 对 应 上 面 的 第 (4) 项 配置 任务 。 

下 面 依 次 对 以 上 配置 任务 的 具体 配置 方法 进行 详细 介绍 。 


2.4.2 ”基于 ACL 定义 需要 保护 的 数据 流 





本 项 配置 任务 是 采用 ACL 定义 需要 保护 的 数据 流 方 案 中 ， 手 动 方式 和 IKE 动态 
协商 方式 建立 IPSec 隧道 的 一 项 共同 配置 任务 。 


IPSec 能 够 对 一 个 或 多 个 数据 流 进 行 安全 保护 ， 在 ACL 方式 下 建立 IPSec 隧道 时 采 
用 ACL 来 指定 需要 IPSec 保护 的 数据 流 。 实 际 应 用 中 ， 首 先 需 要 通过 配置 ACL 的 规则 
定义 数据 流 范围 ， 再 在 安全 策略 中 引用 该 ACL， 从 而 起 到 保护 该 数据 流 的 作用 。 

这 里 的 ACL 是 一 个 高 级 IPACL。 在 IPSec 的 应 用 中 ，ACL 规则 中 的 permit 关键 字 
表示 与 之 匹配 的 流量 需要 被 IPSec 保护 , 而 deny 关键 字 则 表示 与 之 匹配 的 流量 不 需要 被 
保护 ， 不 要 通过 IPSec 隧道 传输 ， 如 普通 的 Internet 访问 。 一 个 ACL 中 可 以 配置 多 条 规 
则 ， 首 个 与 数据 流 匹配 上 的 ACL 规则 决定 了 对 该 数据 流 的 处 理 方式 〈 即 是 需要 进入 
IPSec 隧道 传输 ， 还 是 直接 通过 公 网 传输 )。 

此 处 所 配置 的 ACL 在 出 /入 方向 上 的 数据 流 的 作用 不 一 样 ， 具 体 如 下 。 

(1) 在 出 方 同上 

在 出 方向 上 【也 就 是 从 本 端 癌 外 发 送 数据 )， 与 ACL 的 permit 规则 匹配 的 报 文 将 被 
IPSec 保护 ， 即 报 文 经 过 IPSec 加 密 处 理 后 再 发 送 。 未 匹配 任何 permit 规则 或 与 deny 规 
则 匹配 的 报 文 将 不 被 保护 , 即 报 文 不 被 做 任何 处 理 而 直接 转发 。 对 等 体 间 匹 配 一 条 permit 
规则 即 匹 配 一 个 需要 保护 的 数据 流 ， 则 对 应 生成 一 对 SA。 

(2) 在 入 方向 上 : 

在 入 方向 上 《也 就 是 本 端 接收 来 自 外 部 的 数据 ) 经 IPSec 保护 的 报 文 将 被 解 封装 处 
理 ， 未 经 IPSec 保护 的 报 文 将 被 正常 转发 。 

但 在 对 等 间 配 置 用 于 定义 保护 数据 流 的 ACL 时 要 有 所 注意 ， 因 为 配置 不 当 可 能 ; 


| 


成 对 等 间 最 终 不 能 建立 SA。 现 举 一 个 示例 ， 当 分 文 机 构 子 网 A 主机 al，a2，…*… ， 
aM) 要 与 总 部 子 网 B〈 主 机 bl1，b2，…… ，bN) 建立 PSec 隧道 时 ，ACL 的 规则 需要 
按 表 2-2 中 情况 配置 ，SA 才能 够 协商 成 功 。 
表 2-2 示例 
分支 网 关 要 保护 的 数据 流 。 | 。 总 部 网 关 要 保护 的 数据 流 ”| ”《 协商 发 直方 
A 一 B 任意 一 方 都 可 
al 一 "bl 任意 一 方 都 可 
al 一 b1 必须 为 分 文 网 关 
A—B 必须 为 总 部 网 关 





从 表 中 可 看 出 ， 当 对 等 体 间 ACL 规则 镜像 配置 (也 就 是 要 保护 的 数据 流 类 型 完全 
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一 样 ， 只 是 传输 方向 相反 ， 如 A 一 B 和 B 一 A、al 一 bl 和 bl 一 al) 时 ， 任 意 一 方 发 起 协 
商都 能 保证 SA 成 功 建立 ; 当 对 等 体 间 ACL 规则 非 镜像 配置 (如 al 一 bl 和 B 一 A、A 一 B 
和 bl 一 al1) 时 ， 仅 当 协 商 发 起 方 的 ACL 规则 定义 的 范围 小 于 响应 方 ACL 规定 定义 的 范 
围 时 ，SA 才能 成 功 建立 。 

为 保证 SA 的 成 功 建立 ， 通 常 建 议 将 IPSec 对 等 体 上 ACL 规则 镜像 配置 ， 以 保证 两 
站 要 保护 的 数据 流 范围 是 镜像 的 。 也 就 是 在 配置 时 要 尽 可 能 使 本 端 ACL 指定 的 源 了 地 
址 需要 和 对 痛 ACL 指定 的 目的 IP 地 址 一 致 ， 本 端 ACL 指定 的 目的 IP 地 址 需要 和 对 端 
ACL 指定 的 源 卫 地 址 一 致 。 

利用 ACL 定义 需要 IPSec 保护 的 数据 流 的 配置 方法 如 表 2-3 所 示 ， 就 是 建立 一 个 高 
级 的 ACL， 限 制 可 以 被 保护 的 数据 流 。 一 个 安全 策略 中 只 能 引用 一 个 ACL， 对 于 有 不 
同安 全 要 求 的 数据 流 ， 需 要 创建 不 同 的 ACL 和 相应 的 安全 策略 。 有 关 ACL 方面 的 详细 
介绍 请 参见 《华为 交换 机 学 习 指 南 》 一 书 。 


表 2-3 定义 需要 保护 数据 流 的 ACL 的 配置 步骤 


步 又 说 明 
system-view 


1 进入 系统 视图 


例如 : <Huawei> system-view 


创建 一 个 高 级 ACL 并 进入 其 视图 。 命令 中 的 参数 说 明 如 下 。 
e number: 可 选项 ， 表 示 所 创建 的 是 数字 型 的 ACL， 
e acl-number: 指定 所 创建 的 ACL 编号 ， 必 须 为 3000 一 
3999 之 间 的 整数 ， 因 为 创建 的 是 高 级 IPACL。 
acl | number | aci-number [ match- 
7 order { config | auto } ] e config: 二 选 一 选项 ， 匹 配 规则 时 按 用 户 的 配置 顺序 。 
例如 : [Huawei] acl 3001 但 要 注意 ， 这 仅 是 在 用 户 没有 指定 rule-ld 的 前 提 下 ， 如 
果 用 户 指定 了 rule-id， 则 匹配 规则 时 仍 是 按 rule-id 由 小 
到 大 的 顺序 进行 匹配 。 
e auto: 二 选 一 选项 , 匹配 规则 时 系统 自动 排序 ( 按 “ 深 
度 优 先 ” 的 顺序 )。 如 果 “ 深 度 优先 ”的 顺序 相同 ， 则 匹 
配 规则 时 按 rule-id 由 小 到 大 的 顺序 
配置 用 于 定义 需要 保护 的 卫 数据 流 的 ACL 规则 (事实 
也 可 以 匹配 其 他 类 型 的 数据 流 ， 这 里 仅 是 作为 一 个 示 
例 )。 命 令 中 的 参数 说 明 如 下 。 
e rule-id: 可 选 参数 ， 指 定 ACL 的 规则 ID。 
rule [ rule-id ] { deny | permit } ip | 如 果 指 定 ID 的 规则 已 经 存在 , 则 会 在 旧 规 则 的 基础 上 用 
[ destination { destination-address | 加 新 定义 的 规则 ， 相 当 于 编辑 一 个 已 经 存在 的 规则 ， 如 
Ces0n00o0wecce any 了 | souree | 果 指定 ID 的 规则 不 存在 ， 则 使 用 指定 的 ID 创建 一 个 新 
pd tse ois tm 规则 , 并且 按照 ID 的 大 小 决定 规则 插入 的 位 置 。 如 果 不 
和 8 定 ID, 则 增加 一 个 新 规则 时 设备 自动 会 为 这 个 规则 分 
例如 : [Huawei-acl-adv-3001] rule 配 一 个 ID 按照 大 小 排序 。 系统 目 动 分 配 ID 时 会 留 
permit ip source 129.9.8.0 0.0.0. | 有 一 定 的 空间 ， 共 体 的 相 邻 ID 范围 由 step 命令 指定 。 
255 _ destination 202.38.160.0 0.0. |【 说 明 】 设 备 自动 生成 的 规则 TD 从 步 长 值 起 始 ， 缺 省 步 
0.255 长 为 5， 即 从 5 开始 并 按照 5 的 倍数 生成 规则 序号 ， 序 
号 分 别 为 5、10、15、……… . 仅 当 ACL 为 config 模式 时 ， 
配置 rule 指定 的 rule-id 才 有 效 ; auto 模式 的 ACL 指定 
的 rule-id 无 效 , 设备 会 根据 深度 优先 算法 为 其 自动 分 配 


/7w1e-id. 
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( 续 表 ) 

。 deny: 二 选 一 选项 ， 表 示 拒 绝 符合 条 件 的 报 文 ， 也 就 
是 符合 该 规则 条 件 的 报 文 不 会 被 IPSec 保护 。 
。 permit: 二 选 一 选项 ， 表 示人 允许 符合 条 件 的 报 文 ， 也 
就 是 符合 该 规则 条 件 的 报 文 会 被 IPSec 保护 。 

e _ destination { destination-address destination-wildcard | 
any }: 可 多 选 参数 ， 指 定 ACL 规则 匹配 报 文 的 目的 地 
址 信息 。 如 果 不 配置 ， 表 示 报 文 的 任何 目的 地 址 都 匹配 。 其 
| ，、， | 中 gqestination-address 表示 报 文 的 目的 卫 地 址 ，4qestination- 
rae we 6 {eny Perm 了 | wildcard 表示 目的 地 址 通配符 ，any 表示 报 文 的 任意 上 上 
二 Moe Wt panieoo 的 地 址 ， 相 当 于 qestination-address 为 0.0.0.0 或 者 


destination-wildcard | any } | source , 
{ source-address source-wildcard | destination-wildcard 为 255.255.255.255。 


any } | vpn-instance vpn-instance- | ® source { source-address source-wildcard | any }: 可 多 选 
name | dscp dscp ] * 参数 ,指定 ACL 规则 匹配 报 文 的 源 地 址 信息 。 如 果 不 配 
例如 : [Huawei-acl-adv-3001] rule | 置 ， 表示 报 文 的 任何 源 地 址 都 匹配 。 其 中 source-address 
permit ip source 129.9.8.0 0.0.0. | 指定 报 文 的 源 地 址 ; source-wildcard 指定 源 地 址 通配符 ; 
233 destination 202.38.160.0 0.0. any 表示 报 文 的 任意 源 地 址 ， 相 当 于 source-address 为 
Dn 0.0.0.0 或 者 source-wildcard 为 255.255.255.255。 

e vpn-instance vpn-instance-name: 可 多 选 参数 ， 可 以 要 
保护 的 数据 流 所 位 于 的 VPN 实例 。 

e dscp dscp: 可 多 选 参数 ， 指 定 ACL 规则 匹配 报 文 时 
为 报 文 分 配 的 DSCP 优先 有 值 。 

可 用 undo rule rule-id 命令 删除 指定 的 规则 ， 但 在 应 用 
中 的 规则 不 能 删除 ， 此 时 需要 在 对 应 的 应 用 中 先 停止 调用 
该 规则 对 应 的 ACL 的 调用 ， 然 后 再 删除 其 中 的 某 条 规则 








IPSec 也 支持 引用 协议 类 型 为 TCP 或 UDP 的 高 级 ACL 规则 。 如 果 应 用 安全 策略 
的 授 口 同时 配置 了 NAIT， 由 于 设备 先 执行 NAT， 会 导致 IPSec 不 生效 ， 有 以 下 两 种 解决 
施法 (采用 其 中 之 一 ) 

e 在 NAT 配置 中 采用 Deny 类 高 级 ACL 规则 ,其 目的 IP 地 址 是 IPSec 引用 的 ACL 
规则 中 的 目的 IP 地 址 ， 以 避免 对 IPSec 保护 的 数据 流 进行 NAT 转换 。 

e IPSec 引用 的 ACL 规则 中 的 源 /目的 IP 地 址 与 经 过 NAT 转换 后 的 源 /目的 IJP 地 址 
一 致 。 


2.4.3 配置 IPSec 安全 提议 





| “本 项 配置 任务 也 是 手动 方式 和 IKE 动态 协商 建立 IPSec 隧道 建立 的 一 项 共同 配置 
任务 , 卫 都 必须 手工 配置 IPSec 安全 提议 , 但 里 面 的 参数 可 以 直接 采用 它们 的 缺 省 取 值 ， 
当然 你 也 可 以 采用 自己 配置 的 参数 。 


IPSec 安全 提议 是 安全 策略 或 者 安全 框架 的 一 个 组 成 部 分 , 它 包 括 IPSec 使 用 的 安全 
协议 、 认 证 /加 密 算 法 以 及 数据 的 封装 模式 ， 定 义 了 IPSec 的 保护 方法 , 为 IPSec SA 协商 
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提供 各 种 安全 参数 ， 需 要 在 后 面 配置 的 安全 策略 中 被 调用 。 
IPSec 安全 提议 的 具体 配置 步骤 如 表 2-4 所 示 ， 隧 道 两 端 设备 的 参数 配置 必须 相同 ， 
但 安全 提议 名 称 可 以 不 同 。 
表 2-4 


加 IPSec 安全 提议 的 配置 步骤 





说 明 


创建 PSec 安全 提议 并 进入 IPSec 安全 提议 视图 。 参 
数 proposal-name 用 来 指定 IPSec 安全 提议 的 名 称 ， 
字符 串 格式 ， 不 支持 “? ”和 空格 ， 区 分 大 小 写 ， 长 
度 范围 是 1 一 15。 两 端 创建 的 IPSec 安全 提议 中 的 各 
安全 参数 配置 必须 相同 (可 以 只 创建 安全 提议 , 但 各 
例如 : [Huawei] ipsec proposal propl 参数 均 采用 缺 省 值 )， 但 安全 提议 名 称 可 不 同 。 
缺 省 情况 下 ， 系 统 没 有 配置 IPSec 安全 提议 ， 可 用 
undo ipsec proposal proposal-name 命令 删除 指定 的 
IPSec 安全 提议 
配置 安全 协议 。 命 令 中 的 选项 说 明 如 下 : 
e ah: 多 选 一 选项 ， 指 定 采 用 的 安全 协议 为 AH 协议 ; 
e。 esp: 多 选 一 选项 ， 指 定 采 用 的 安全 协议 为 ESP 
协议 ; 
eb, 。 ah-esp: 多 选 一 选项 ， 指 定 同 时 采用 AH 和 ESP 
transform { ah | esp | ah-esp } 协议 。 
3 例如 : [Huawei-ipsec-proposal-prop1] | AH 能 保护 通信 和 免 受 算 改 ， 但 不 能 防止 窃听 ， 适 合 
transform ah 用 于 传输 非 机 密 数 据 。ESP 虽然 提供 的 认证 服务 不 
如 AH， 但 它 还 可 以 对 有 效 载荷 进行 加 密 。 
缺 省 情况 下 ，IPSec 安全 提议 采用 安全 协议 为 ESP 
协议 ， 可 用 undo transform 命令 将 IPSec 安全 提议 
采用 的 安全 协议 恢复 为 缺 省 配置 。 在 IPSec 隧道 两 
端 ，IPSec 安全 提议 所 使 用 的 安全 协议 必须 一 致 
设置 AH 协议 采用 的 认证 算法 。 当 安全 协议 采用 AH 
协议 时 ，AH 协议 只 能 对 报 文 进行 认证 ， 只 能 配置 
AH 协议 的 认证 算法 。 命 令 中 的 选项 说 明 如 下 。 
。 md5: 多 选 一 选项 ,指定 AH 协议 采用 MD5 认证 ， 
使 用 128 位 的 密 钥 ; 
| e shal: 多 选 一 选项 ， 指 定 AH 协议 采用 SHA-1 认 
ah authentication-algorithm | 证 ， 也 称 之 为 “HMAC-SHA-1-96” 算 法 〈 在 RFC2404 
5 | 村 定义 j7 使 用 160 各 的 密 铂 : 
2 | 。 sha2-256: 多 选 一 选项 ， 指 定 AH 协议 采用 
和 [vawe “psec” | SHA-256 认证 ， 使 用 256 位 的 密 钥 
i ti 。 sha2-384: 多 选 一 选项 ， 指 定 AH 协议 采用 
shal SHA-384 认证 ， 使 用 384 位 的 密 钥 ; 
。 sha2-512: 多 选 一 选项 ， 指 定 AH 协议 采用 
SHA-512 认证 ， 使 用 512 位 的 密 钥 ; 
。 sm3: 多 选 一 选项 ， 指 定 AH 协议 采用 SM3 认证 。 
SM3 密码 杂凑 算法 是 中 国 国家 密码 管理 局 规定 的 
认证 算法 。SM3 算法 只 在 IKEv1 中 文 持 , 但 当 采 用 
手动 方式 建立 IPSec 隧道 时 不 支持 


ipsec proposal proposal-name 
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ah authentication-algorithm 
{ mds | shal | sha2-256 | 
sha2-384 | sha2-S12 | sm3 } 
例如 : [Huawei-ipsec- 
proposal-prop1] ah 
authentication-algorithm 
shal 


esp authentication-algorithm 
{ mds | shal | sha2-256 | 
sha2-384 | sha2-512 | sm3 } 
例如 : [Huawei-ipsec- 
proposal-prop1] esp 
authentication-algorithm 
shal 


esp encryption-algorithm 
[ 3des | des | aes-128 | aes- 
192 | aes-256 | sml1| sm4 | 
例如 : 
proposal-propl] esp 
encryption-algorithm 3des 


[Huawei-ipsec- 
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( 续 表 ) 
说 明 


缺 省 情 部下 VRP 系统 V200R006 版 本 以 前 前 ，AH 协 
议 采 用 MD5 认证 算法 ， 在 V200R2006 及 以 后 版 本 中 
采用 SHA2-256 认证 算法 ,可 用 undo ah authentication- 
algorithm 命令 恢复 AH 协议 采用 的 认证 方式 为 缺 省 
值 。 在 IPSec 隧道 两 端 所 引用 的 IPSec 安全 提议 中 
AH 协议 必须 采用 相同 的 认证 算法 。 有 关 这 些 认 证 算 
法 的 介绍 请 参见 本 书 第 1 章 相 关内 容 

设置 ESP 协议 采用 的 认证 算法 ,命令 中 的 选项 与 ah 
authentication-algorithm 命令 中 的 对 应 选项 说 明 。 
在 IPSec 隧道 两 端 设 置 的 安全 策略 所 引用 的 IPSec 
安全 提议 中 ， 安 全 协议 使 用 的 认证 算法 必须 相同 。 
缺 省 情况 下 ，VRP 系统 V200R006 版 本 以 前 ，ESP 
协议 采用 MD5 认证 算法 ， 在 V200R006 及 以 后 版 本 中 
采用 SHA2-256 认证 算法 ， 但 undo esp authentication- 
algorithm 命令 不 是 恢复 认证 算法 为 缺 省 算法 ， 而 是 设 
置 认 证 算法 为 空 , 即 不 认证 。 当 认证 算法 不 为 空 时 , undo 
esp authentication-algorithm 命令 才 起 作用 ,但 ESP 协 
议 采 用 的 加 密 算 法 和 认证 算法 不 能 同时 设置 为 空 

设置 ESP 协议 采用 的 加 密 算法 。 命令 中 的 选项 说 明 
如 下 。 

e。 3des: 多 选 一 可 选项 ， 指 定 ESP 协议 的 加 密 算 法 为 
3DES， 使 用 192 位 密 钥 (实际 有 效 长 度 为 168 位 ); 

e des: 多 选 一 可 选项 ， 指 定 ESP 协议 的 加 密 算法 
为 数据 加 密 标 准 DES， 使 用 64 位 密 钥 (实际 有 效 
长 度 为 56 位 ); 

。 aes-128: 多 选 一 可 选项 ,指定 ESP 协议 的 加 密 算 
法 为 高 级 加 密 标准 AES， 使 用 128 位 密 钥 长 度 对 明 
文 进行 加 密 ; 

e aes-192: 多 选 一 可 选项 ， 指 定 ESP 协议 的 加 密 算 
法 为 高 级 加 密 标准 AES， 使 用 192 位 密 钥 长 度 对 明 
文 进行 加 密 ; 

e aes-256: 多 选 一 可 选项 ,指定 ESP 协议 的 加 密 算 
法 为 高 级 加 密 标准 AES， 使 用 256 位 密 钥 长 度 对 明 
文 进行 加 密 ; 

e。 Sml: 多 选 一 可 选项 ， 指 定 ESP 协议 的 加 密 算 法 
为 SM1， 使 用 128 位 密 钥 。SMI1 分 组 密码 算法 是 中 
国 国 家 密码 管理 局 规定 的 加 密 算法 。SM1 算法 只 
IKEv1 中 支持 ; 

。 sm4: 多 选 一 可 选项 ， 指 定 ESP 协议 的 加 密 算法 
为 SM4, 也 使 用 128 位 密 钥 。 SM4 分 组 密码 算法 是 
中 国 国家 密码 管理 局 规定 的 加 密 算 法 。SM4 算法 只 
在 IKEv1 协商 和 VRP V200R006 及 以 后 版 本 支持 . 
缺 省 情况 下 ,在 VRP 系统 V200R006 版 本 以 前 ,ESP 
协议 采用 DES 加 密 算 法 , 在 V200R006 及 以 后 版 本 
中 采用 AES-256 加 密 算法 , 但 undo esp encryption- 
algorithm 命令 不 是 恢复 加 密 算 法 为 缺 省 算法 , 而 是 
设置 加 密 算 法 为 空 ， 即 不 加 密 。 当 加 密 算 法 不 为 空 
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( 续 表 ) 


2 说 明 
esp encryption-algorithm | 时 ，undo esp encryption-algorithm 命令 才 起 作用 ， 
[ 3des | des | aes-128 | aes- | 但 ESP 协议 采用 的 加 密 算法 和 认证 算法 不 能 同时 设 

采用 ESP | 192 | aes-256 | sml| sm4 ] 置 为 空 。 在 IPSec 隧道 两 端 设置 的 安全 策略 所 引用 

协议 时 | 例如 : [Huawei-ipsec- 的 IPSec 安全 提议 中 ， 安 全 协议 使 用 的 加 密 算法 必 
proposal-propl] esp 须 相 同 。 有 关 这 些 加 密 算 法 的 介绍 请 参见 本 书 第 1 
encryption-algorithm 3des | 章 相 关内 容 

选择 安全 协议 对 数据 的 封装 模式 。 命 令 中 的 选项 

说 明 。 

。 transport: 二 选 一 选项 ， 指 定安 全 协议 对 数据 的 

封装 模式 采用 传输 模式 ， 仅 适用 于 端 到 端 〈(End- 

to-End) 的 连接 ; 

e tunnel: 二 选 一 选项 ， 指 定安 全 协议 对 数据 的 封 

装 模 式 采用 隧道 模式 ， 同 时 文 持 端 到 端 (End-to- 

End) 和 站 点 到 站 点 〈Site-to-Site) 的 连接 。 

缺 省 情况 下 ， 安 全 协议 对 数据 的 封装 模式 采用 隧道 

模式 , 可 用 undo encapsulation-mode 命令 恢复 安全 

协议 对 数据 的 封装 模式 为 缺 省 值 。IPSec 隧道 两 端 

设置 的 安全 策略 所 引用 的 IPSec 安全 提议 必须 采用 

相同 的 数据 封装 模式 
quit 


6 返回 系统 视图 


例如 : [Huawei-ipsec-proposal-prop1] quit 
(可 选 ) 开局 SHA-2 算法 羔 容 功能 , 仅 在 VRP 系统 
V200R6006 及 以 后 版 本 支持 。 

IPSec 安全 协议 中 使 用 SHA-2 算法 时 ， 如 果 IPSec 
ipsec _ authentication sha2 compatible | 隧道 两 疹 设 备 的 厂商 不 同 或 两 痛 产 品 的 版 本 不 同 ， 
enable 由 于 不 同 厂商 或 者 不 同 产品 之 间 加 密 解 密 的 方式 可 
例如 : [Huawei] ipsec authentication | 能 不 同 ， 会 导致 IPSec 流量 不 通 ， 可 以 通过 执行 此 
sha2 compatible enable 命令 开启 SHA-2 算法 兼容 功能 解决 此 问题 
缺 省 情况 下 ，SHA-2 算法 兼容 功能 处 于 关闭 状态 ， 
可 用 undo ipsec _ authentication sha2 compatible 
enable 命令 关闭 SHA-2 算法 兼容 功能 


encapsulation-mode { transport | 
tunnel } 

例如 : [Huawei-ipsec-proposal-prop1] 
encapsulation-mode transport 

















1 “安全 协议 同时 采用 AH 和 ESP 协议 时 ,允许 AH 协议 认证 、ESP 协议 对 报 文 进行 
加 密 和 认证 ，AH 协议 的 认证 算法 、ESP 协议 的 认证 算法 、 加 密 算 法 均 可 选择 配置 。 此 
时 设备 先 对 报 文 进行 ESP 封装， 再 进行 AH 封装 。 

另外 ,IPSec 安全 提议 各 参数 均 有 缺 省 值 ， 当 仅 新 创建 IPSec 安全 提议 ,而 不 配置 各 
参数 时 ， 这 些 参 数 均 采用 缺 省 取 值 。 但 在 VRP 系统 V200R006 以 前 版 本 和 V200R006 及 
以 后 版 本 中 ， 这 些 参 数 的 缺 省 值 不 完全 一 样 ， 具 体 如 下 。 

e 在 VRP 系统 V200R006 以 前 版 本 中 ，IPSec 安全 提议 各 套数 缺 省 值 为 : 安全 协议 
为 ESP 协议 ，AH、ESP 认证 算法 均 为 MD5，ESP 加 密 算 法 为 DES， 数 据 封装 模式 为 隧 
道 模 式 。 

e 在 VRP 系统 V200R006 及 以 后 版 本 中 ，IPSec 安全 提议 各 参数 缺 省 值 为 : 安全 协 
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议 为 ESP 协议 ，AH、ESP 认证 算法 均 为 SHA2-2$6，ESP 加 密 算 法 为 AES-256， 数 据 封 
装 模 式 为 隧道 模式 。 


2.4.4 ”配置 安全 策略 





本 项 配置 任务 虽然 在 手工 方式 和 IKE 动态 协商 方式 建立 IPSec 隧道 中 都 需要 配 
置 ， 但 是 两 种 方式 下 的 本 项 配置 任务 的 具体 配置 方法 不 一 样 。 本 节 介 绍 的 是 手工 方式 下 
配置 安全 策略 的 方法 。 但 手工 方式 适用 于 对 等 体 设备 数量 较 少 时 ， 或 是 在 小 型 网 络 中 。 
对 于 中 大 型 网 络 ， 推 荐 使 用 IKE 协商 方式 。 


安全 策略 是 建立 SA 的 前 提 ， 它 规定 了 对 哪些 数据 流 采 用 哪 种 保护 方法 。 配 置 安全 
浓 略 时 , 通过 引用 前 面 创建 的 用 于 定义 需要 保护 数据 流 的 ACL 和 所 创建 的 IPSec 安全 提 
议 ， 将 ACL 定义 的 数据 流 和 IPSec 安全 提议 定义 的 保护 方法 关联 起 来 ， 并 可 以 指定 IPSec 
隧道 的 起 点 和 终点 、 所 需要 的 密 钥 和 SA 的 生存 周期 等 。 

一 个 安全 策略 由 名 称 和 序号 共同 唯一 确定 ， 相 同名 称 的 安全 策略 为 一 个 安全 策略 
组 。 安全 策略 分 为 手工 方式 《Manual ) 安全 策略 和 IKE 动态 协商 方式 (ISAKMP) 2 
策略 。 | 

手工 方式 需要 用 户 分 别针 对 出 /入 方向 SA 手工 配置 认证 /加 密 密 钥 、SPI 等 参数 ， 并 
且 隧 道 两 端的 这 些 参数 需要 镜像 配置 。 即 本 端的 入 方 同 SA 参数 必须 和 对 端的 出 方向 SA 
参数 一 样 ， 本 端的 出 方 癌 SA 参数 必须 和 对 端的 入 方向 SA 参数 一 样 ， 具 体 的 配置 步骤 
如 表 2-5 所 示 。 


” 表 2-5 a hadi 
Se 一 一 一 一 一 机 





RE 进入 系统 视图 

例如 :<Huawei> system-view i 

创建 手工 方式 安全 策略 ， 并 进入 手工 方式 安全 策略 视图 。 命 

令 中 的 参数 说 明 如 下 。 

。 policy-name: 用 来 指定 要 创建 的 安全 策略 的 名 称 ， 字 符 串 

格式 , 长 度 范 围 是 1~15, 区 分 大 小 写 , 字符 串 中 不 能 包含 “? ” 

和 空格 ; 

。 seq-number: 指定 安全 策略 的 序号 ， 整 数 形 式 ， 取 值 范围 
ipsec policy policy-name seg- | 是 1 一 10000， 值 越 小 表示 安全 策略 的 优先 级 越 高 。 

;i ner Tne 一 个 安全 策略 由 名 称 和 序号 共同 唯一 确定 ， 相 同名 称 的 安全 
例如 : [Huawei] ipsec policy | 策略 为 一 个 安全 策略 组 。 在 接口 上 应 用 安全 策略 组 时 ， 会 按 
policyl 100 manual 该 名 称 安全 策略 下 的 序号 由 小 到 大 的 次 序 先后 应 用 。 

缺 省 情况 下 ， 系 统 不 存在 安全 策略 ， 可 用 undo ipsec policy 

Policy-name 命令 删除 指定 的 安全 策略 。 

【 注意】 无论 是 手工 方式 创建 ,还 是 通过 IKE 协商 方式 创建 的 

安全 策略 ， 都 不 能 直接 修改 它 的 创建 方式 ( 即 修改 它 的 手工 

或 IKE 方式 ), 而 必须 先 删除 该 安全 策略 然后 再 重新 创建 ， 因 

为 这 两 种 安全 策略 中 的 配置 是 不 一 样 的 。 
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和 地 “- 说 明 ， 


在 以 上 安全 策略 中 引用 在 242 节 创 建 的 , 用 于 定义 需要 保护 
的 数据 流 的 高 级 ACL。 一 个 安全 策略 只 能 引用 一 个 ACL, 用 
于 指定 安全 策略 所 作用 的 数据 流 。 如 果 设 置 安全 策略 引用 了 
多 于 一 个 ACL， 最 后 引用 的 ACL 才 有 效 。 


缺 省 情况 下 ， 系 统 没有 引用 ACL。 既 可 用 undo security acl 
命令 删除 已 引用 的 ACL， 然 后 可 再 重新 执行 本 命令 引用 新 的 
i ACL, 也 可 不 删除 原来 已 引用 的 ACL， 而 直接 执行 本 命令 引 
川 用 新 的 ACL 


在 以 上 安全 策略 中 引用 在 2.4.3 节 创 建 的 IPSec 安全 提议 。 一 
个 手工 方式 的 安全 策略 只 能 引用 一 个 IPSec 安全 提议 (一 个 
IKE 协商 方式 的 安全 策略 最 多 可 以 引用 12 个 IPSec 安全 提 
议 )， 如 果 已 经 设置 了 IPSec 安全 提议 ， 必 须 先 取消 原先 的 
IPSec 安全 提议 才能 设置 新 的 IPSec 安全 提议 。 

缺 省 情况 下 , 没有 指定 安全 策略 所 引用 的 IPSec 安全 提议 , 可 用 
undo proposal 命令 删除 引用 的 IPSec 安全 提议 


配置 IPSec 隧道 的 起 点 和 终 
点 。 对 于 手工 方式 的 安全 策 
略 ， 必 须 正 确 地 设置 本 端 地 
址 (起点) 和 对 端 地 址 ( 终 
点 ) 才能 成 功 地 建立 一 条 
IPSec 隧道 。 


【注意 】 本 端 配置 IPSec 隧道 
的 对 端 IP 地 址 与 对 端 配置 
IPSec 隧道 的 本 端 卫 地 址 应 
保持 一 致 
配置 出 /入 方向 SA 的 SPI 值 


【注意 在 配置 手工 方式 安全 
策略 时 ， 用 户 必 须 配 置 入 方 
向 和 出 方向 SA 的 SPI. 并 且 
本 端的 入 方向 SA 的 SPI 必 
须 和 对 端的 出 方向 SA 的 SPI 
一 样 , 同时 本 端的 出 方向 SA 
的 SPI 必须 和 对 端的 入 方向 
的 SPI 一 样 。 
所 选择 的 安全 协议 必须 与 配置 
IPSec 安全 提议 中 transform 
命令 配置 的 安全 协议 一 致 。 
如 果 在 transform 命令 中 配 
置 的 安全 协议 为 ah-esp， 则 
此 处 两 命令 必须 同时 配置 
ah、esp 两 种 安全 协议 对 应 
的 出 /入 SPI。 男 为 保证 SA 
的 唯一 性 ， 出 /入 方向 SA 的 
SPI 值 不 能 设置 成 相同 值 ， 
即 不 同 的 SA 必须 对 应 于 不 
同 的 SPI 




















security acl acl-number 


例如 : [Huawei-ipsec-policy- 
manual-pollcy1-100] security 
acl 3100 


proposal proposal-name 


例如 : [Huawei-ipsec-policy- 
manual-pollcy1-100] proposal 
propl 






















tunnel local ip-address 


配置 IPSec 隧道 的 本 端 卫 地 址 
(通常 是 本 端 IPSec 设备 的 公 
网 接口 地 址 ) 


例如 : [Huawei-ipsec-policy- 
manual-policyl-100] tunnel 
local 202.138.162.1 
















tunnel remote ip-address 


配置 IPSec 隧道 的 对 端 下 地址 
(通常 是 对 端 IPSec 设备 的 公 
网 接口 地 址 ) 


例如 : [Huawei-ipsec-policy- 
manual-pollicy1-100] tunnel 
remote 202.138.103.1 










配置 出 方向 SA 的 SPI。 命 令 
中 的 参数 和 选项 说 明 如 下 。 

。 ah: 二 选 一 选项 ， 指 定 采 用 
AH 协议 ; 

e esp: 二 选 一 选项 ， 指 定 采 
用 ESP 协议 ; 

e spi-number: 指定 SPI， 整 数 
形式 ， 取 值 范 围 是 256 一 
4294967295。 

缺 省 情况 下 , SA 没有 设置 SPIl， 
可 用 undo sa spi outbound 


{ ah | esp } 命 令 删除 所 设置 的 
SA 出 方 同 的 SPI 


配置 入 方向 SA 的 SPI。 参 数 
和 选项 详情 参见 以 上 说 明 。 
缺 省 情况 下 , SA 没有 设置 SPL， 
可 用 undo sa spi inbound { ah | 
esp } 命 令 删 除 所 设置 的 SA 的 
入 方 同 SPI。 

























sa spi outbound { ah | esp } 
spi-number 








例如 : [Huawei-ipsec-policy- 
manual-policy1-100] sa spi 
inbound ah 10000 












sa spi inbound { ah | esp } 
spi-number 






例如 : [Huawei-ipsec-policy- 
manual-policy1-100] sa spi 
outbound ah 20000 
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pe /A 
, AAA 
bb 


sa string-key { inbound | 
outbound } ah { simple | 
cipher } string-key 

例如 : [Huawei-ipsec-policy- 
manual-pollcy1-100] sa string- 
key inbound ah cipher lycb 
gZ 


sa authentication-hex 
{inbound | outbound } ah 
{ simple | cipher } hex-string 


例如 : [Huawei-ipsec-policy- 
manual-pollcy1-100] sa 
authentication-hex inbound 
ah cipher lycb gz 


和 
全 协议 采用 
AH 协议 时 ， 
配置 出 /入 SA 
所 采用 的 认 
证 密 钥 。 
【说 明 】 如 果 
分 别 以 两 种 
形式 设置 了 
认证 密 钥 ， 则 
最 后 设 定 的 
认证 密 钥 有 
效 
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( 续 表 ) 


配置 AH 协议 的 认证 密 钥 《〈 以 字符 串 方式 输 


入 )。 命 令 中 的 参数 和 选项 说 明 如 下 。 

e jinbound: 二 选 一 选项 ， 指 定 入 方 同 SA 的 
参数 ; 

e outbound: 二 选 一 选项 ， 指 定 出 方 同 SA 
的 参数 ; 


。 simple: 二 选 一 选项 ， 指 定 采用 明文 口令 
类 型 。 可 以 键入 明文 口令 ， 查 看 配置 文件 时 
以 明文 方式 显示 口令 ; 

e cipher: 二 选 一 选项 ， 指 定 采 用 密 文 口令 
类 型 。 可 以 键入 明文 或 密 文 口令 ， 但 在 查看 
配置 文件 时 均 以 密 文 方式 显示 口令 ; 

e string-key: 指定 SA 的 认证 密 钥 ， 字 符 串 
格式 ， 不 支持 “? ”和 空格 ， 区 分 大 小 写 ， 
如 果 明 文 输入 ， 长 度 范围 是 1~255; 如 果 密 
文 输入 ， 长 度 范 围 为 32 一 392。 

缺 省 情况 下 ， 系 统 没 有 配置 SA 的 认证 密 钥 ， 
可 用 undo sa string-key { inbound | outbound } 
ah 命令 删除 所 配置 的 SA 的 认证 密 钥 


配置 AH 协议 的 认证 密 钥 (以 16 进 制 方式 输 
入 )。 参 数 hex-string 用 来 指定 十 六 进 制 格式 
的 认证 密 钥 。 

。 如 果 使 用 MD5 认证 算法 ， 密 钥 长 度 为 16 
字 节 明文 ， 或 28 字 节 密 文 ; 

。 如 果 使 用 SHA-1 认证 算法 , 密 钥 长 度 为 20 
字 节 明文 ， 或 34 字 节 密 文 ; 

。 如 果 使 用 SHA2-256 认证 算法 ， 
为 32 字 节 明 文 ， 或 和 2 字 节 密 文 ; 

。 如 果 使 用 SHA2-384 认证 算法 ， 
为 48 字 节 明文 ， 或 76 字 节 密 文 ; 

。 如果 使 用 SHA2-512 认证 算法 ， 
为 64 字 节 明文 ， 或 100 字 节 密 文 ; 
。 如 果 使 用 SM3 算法 ， 密 钥 长 度 为 32 字 节 
明文 。 

其 他 选项 详情 参见 本 表 前 面 sa string-key 
{ inbound | outbound } ah { simple | cipher } 
String-key 命令 中 的 对 应 说 明 。 

缺 省 情况 下 ， 系 统 没有 配置 SA 的 认证 密 钥 ， 
可 用 undo sa authentication-hex { inbound | 
outbound } ah 命令 删除 所 配置 的 SA 的 认证 
密 钥 。 


密 钥 长 度 


密 钥 长 度 


密 钥 长 度 
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配置 ESP 协议 的 认证 密 钥 (以 字符 串 方式 输 
入 )。 参 数 和 选项 详情 参见 本 表 前 面 sa 
string-key { inbound | outbound } ah { simple | 
cipher } string-key 命令 的 对 应 说 明 。 










sa string-key { inbound | 
outbound } esp { simple | 













































cipher } string-key (二 选 一 ) 安 | 缺 省 情况 下 ， 系 统 没 有 配置 SA 的 认证 密 钥 ， 
例如 : [Huawei-ipsec-policy- | 全 协议 采用 | 可 用 undo sa string-key { inbound | outbound } 
manual-policy1-100] sa string- | ESP 协议 时 ， | esp 命令 删除 所 配置 的 SA 的 认证 密 钥 。 
Hey IDO ean otp per 配置 BSP 协议 | 【注意 】 当 安全 协议 采用 ESP 协议 时 ， 如 果 
有 的 认证 密 钥 。 | 选择 以 字符 囊 形式 输入 认证 密 钥 ， 则 设备 将 
/ 【说 明 】 如 果 | 自动 生成 ESP 的 加 密 密 钥 ， 用 户 无 需 再 次 配 
分 别 以 两 种 | 置 下 面 第 8 步 所 示 的 ESP 加 密 密 铀 
加 形式 设置 了 | 配置 ESP 协议 的 认证 密 钥 (以 16 进 制 方式 输 
Sa authentication-hex 认证 密 铀 ， 则 | 入 ) 。 参 数 和 选项 详情 参见 本 表 前 面 sa 
rn Mg | wu 最 后 设 定 的 认 | authentication-hex { inbound | outbound } ah 
{simple | cipherj hex-string | 注 密 角 有 效 { simple | cipher } hex-string 命令 的 对 应 说 明 。 
Op 缺 省 情况 下 ， 系 统 没有 配置 SA 的 认证 密 钢 ， 
nn re, Ke 可 用 undo sa authentication-hex { inbound | 
authentication-hex outbound py 
esp cipher lycb gz outbound } esp 命令 删除 所 配置 的 SA 的 认 
证 密 角 
(可 选 ) 安全 协议 采用 ESP 协议 时 ， 配 置 ESP 协议 的 加 密 密 
钥 (以 16 进 制 方式 输入 )。 参 数 hex-string 用 来 指定 十 六 进 制 
格式 的 加 密 密 钥 。 
| 。 如 果 使 用 DES 加 密 算法 ， 密 钥 长 度 为 8 字 节 明文 , 或 16 
1 时 字 节 密 文 ， 
| 。 如果 使 用 3DES 加 密 算 法 , 密 钥 长 度 为 24 字 节 明文 , 或 40 
字 节 密 文 ， 
) 。 如 果 使 用 AES-128 加 密 算法 ， 密 钥 长 度 为 16 字 节 明文 ， 
sa encryption-hex { inbound 或 28 了 学 节 密 文 ; 
| outbound } esp { simple | | 。 如 果 使 用 AES-192 加 密 算 法 ， 密 钥 长 度 为 24 字 节 明文 ， 
cipher } hex-string 或 40 字 节 密 文 ， 
8 | 例如 : [Huawei-ipsec-policy- 


。 如 果 使 用 AES-256 加 密 算法 ， 密 钥 长 度 为 32 字 节 明文 ， 
或 52 字 节 密 文 ; 

。 如 果 使 用 SM1 算法 ， 则 密 钥 长 度 为 16 字 节 明文 ; 

。 如 果 使 用 SM4 算法 ， 则 密 钥 长 度 为 16 字 节 明文 。 

其 他 选项 详情 参见 本 表 前 面 sa authentication-hex { inbound | 
outbound } ah { simple | cipher } hex-string 命令 中 的 对 应 说 明 。 
【说 明 】 当 引用 的 IPSec 安全 提议 同时 选择 了 加 密 算法 和 认证 
算法 时 ， 必 须 配 置 本 条 命令 。 

缺 省 情况 下 ， 系 统 没有 配置 SA 的 认证 密 钥 ， 可 用 undo sa 
encryption-hex { inbound | outbound } esp 命令 删除 所 配置 的 
SA 的 认证 密 钥 


【经 验 提 示 】〗 上 表 第 7 步 是 用 来 配置 出 /入 方向 SA 的 认证 密 钥 和 加 密 密 钥 。 但 在 配 
置 过 程 中 需要 注意 以 下 几 个 方面 。 
e。 在 配置 手工 方式 安全 策略 时 ， 当 引用 的 IPSec 安全 提议 选择 了 认证 算法 时 ， 需 要 


manual-pollcy1-100] sa 
encryption-hex outbound 
esp cipher windanet 
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用 户 分 别针 对 出 /入 方向 SA 手工 配置 认证 密 钥 。 并 且 本 端的 入 方向 SA 的 认证 窗 钥 必须 
和 对 端的 出 方向 SA 的 认证 密 钥 相同 ， 同 时 本 端的 出 方向 SA 的 认证 客 钥 必须 和 对 端的 
入 方向 SA 的 认证 密 钥 相同 。 

。 在 配置 手工 方式 安全 策略 时 ， 当 引用 的 IPSec 安全 提议 选择 了 加 密 算法 时 ， 需 要 
用 户 分 别针 对 出 /入 方向 SA 手工 配置 加 密 密 钥 。 并 且 本 端的 入 方向 SA 的 加 密 密 钥 必须 
和 对 端的 出 方向 SA 的 加 密 密 钥 相同 ， 同 时 本 端的 出 方向 SA 的 加 密 密 钥 必须 和 对 端的 
入 方向 SA 的 加 密 密 钥 相同 。 

。 认证 密 钥 和 加 窗 窗 钥 只 需 选 择 其 中 一 种 安全 协议 和 其 中 一 种 配置 方式 。ESP 的 加 
密 密 钥 是 可 选 配 置 的 。 

。 在 IPSec 隧道 的 两 端 ， 应 当 以 相同 的 方式 输入 密 钥 。 如 果 一端 以 字符 串 方式 输入 
密 钥 ， 另 一 端 以 16 进 制 方式 输入 密 钥 ， 则 不 能 正确 地 建立 SA。 如 果 在 同一 端 分 别 以 两 
种 方式 输入 了 密 钥 ， 则 最 后 设 定 的 密 钥 有 效 。 

。 建议 窗 钥 至 少 包含 小 写字 母 、 大 写字 母 、 数 字 、 特 殊 字 符 这 四 种 形式 中 的 两 种 ， 
同时 密 钥 长 度 不 小 于 6 个 字符 。 


2.4.5 配置 可 选 扩展 功能 


在 基于 ACL 方式 的 手工 建立 IPSec 隧道 应 用 中 ， 可 选 配置 的 扩展 功能 包括 : 

。 配置 IPSec 隧道 绑 定 VPN 实例 ; 

。 配置 原始 报 文 信息 预 提 取 功 能 ; 

e 配置 对 IPSec 解 封 阔 报 文 进行 ACL 检查; 

。 配置 报 文 分 片 功能 。 

以 上 这 些 功 能 都 是 可 根据 实际 需要 选择 配置 的 ， 都 不 是 必须 配置 的 。 下 面 对 以 上 可 
选 功能 的 具体 配置 方法 进行 介绍 。 

1. 配置 IPSec 隧道 绑 定 VPN 实例 

手工 方式 建立 的 SA 文 持 在 安全 策略 下 配置 IPSec 隧道 绑 定 VPN 实例 。 

对 于 一 个 MPLS VPN 网 络 ， 如 果 CE〈 用 户 端 ) 和 PE (运营 商 端 ) 之 间 没 有 使 用 专 
线 连 接 ， 而 是 通过 Internet 连接 ， 此 时 ，CE 内 部 接 入 主机 要 访问 其 他 VPN Site 的 资源 就 
必须 通过 不 安全 的 Internet。 但 如 果 对 这 部 分 用 户 提 供 通过 IPSec 隧道 方式 接 入 MPLS 
VPN 的 骨干 网 , 通过 本 功能 的 配置 指定 隧道 对 端 所 属 的 VPN， 从 而 使 报 文 在 到 达 对 端 后 
可 获知 发 送 的 接口 ， 即 可 以 实现 IPSec 的 VPN 多 实例 连接 。 

配置 IPSec 降 道 绑 定 VPN 实例 的 具体 配置 方法 如 表 2-6 所 示 。 


表 2-6 配置 IPSec 隧道 绑 定 VPN 实例 的 步骤 





System-view 


1 进入 系统 视图 


例如 : <Huawei> system-view 


ipsec policy policy-name seq- 进入 以 前 已 创建 的 手工 方式 安全 策略 视图 。 可 以 为 连接 不 同 

5 number manual VPN 实例 例 使 用 同名 称 ， 但 不 同 序号 不 同 的 安全 策略 来 与 
例如 : [Huawei] ipsec policy | 不 同 VPN 实例 进行 绑 定 ， 以 实现 CE 客户 端 可 以 访问 位 于 
policyl 100 manual 不 同 VPN Site 中 的 资源 。 
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( 续 表 ) 

ee 
站 定 以 上 安全 策略 中 ,IPSec 隧道 要 绑 定 的 VPN 实例 。 参数 
a vpn-instance-name 是 一 个 已 经 通过 ip vpn-instance vpn- 
ee 加 instance-name 命令 创建 的 VPN 实例 ， 字 符 串 格式 ， 长 度 范 
例如 [Evaweiipsee policy。 | 围 是 1~31。 区 分 大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 空格 。 

manual-policy1-100] sa ee We 
binding vpn-instance vpna 缺 省 情况 下 ，IPSec 隧道 没有 绑 定 VPN 实例 ， 可 用 undo sa 
binding vpn-instance 命令 删除 IPSec 隧道 绑 定 的 VPN 实例 


sa binding vpn-instance vpn- 





2. 配置 原始 报 文 信息 预 提取 功能 

当 在 接口 上 同时 应 用 了 IPSec 安全 策略 与 QoS 策略 时 ，QoS 默认 仍 使 用 被 重新 封 疙 
的 报 文 的 外 层 IP 报头 信息 《传输 模式 下 封 钱 的 新 IP 报头 ， 隐 藏 了 原始 报 文 的 报头 及 协 
议 等 天 于 QoS 的 参数 信息 ) 来 对 报 文 进行 分 类 。 如 果 和 希望 QoS 仍 基于 被 封闭 报 文 的 原 
IP 报头 信息 对 报 文 进行 分 类 ， 则 需要 配置 原始 报 文 信息 预 提 取 功 能 来 实现 。 

配置 原始 报 文 信息 预 提 取 功 能 的 具体 配置 步骤 如 表 2-7 所 示 。 


表 2-7 配置 原始 报 文 信息 预 提取 功能 的 步骤 


步骤 es 


| system-view 进入 系统 视图 


例如 : <Huawei> system-view 


ipsec policy policy-name 
seq-number manual 


2 wy 进入 以 前 已 创建 的 手工 方式 安全 策略 视图 
例如 : [Huawei] ipsec policy . 
policyl 100 manual z \\ , 
qos pre-classify 一 | 配置 对 原始 报 文 信息 进行 预 提取 。 
3 例如 : [Huawei-ipsec-policy- 缺 省 情况 下 ， 系 统 没 有 配置 对 原始 报 文 信息 的 预 提 取 ， 可 


manual-policy1-100] qos pre- ”| 使 用 undo qos pre-classify 命令 取消 对 原始 报 文 信息 的 预 
classify 提取 

3. 配置 对 IPSec 解 封 装 报 文 进行 ACL 检查 

本 可 选 配置 任务 仅 当 在 IPSec 安全 提议 下 配置 对 报 文 的 封装 形式 为 障 道 模式 时 才 可 
选 配置 。 

SA 入 方向 的 IPSec 报 文 在 解 封装 之 后 有 可 能 内 部 IP 报头 不 在 当前 安全 集 略 配置 的 
ACL 保护 范围 内 ， 如 报 文 在 网 络 中 传输 时 被 恶意 修改 的 攻击 报 文 头 就 可 能 不 在 此 范围 
内 。 通 过 设备 对 进入 的 报 文 重新 检查 报 文 内 部 IP 报头 是 否 在 ACL 保护 范围 内 ， 可 以 提 
高 网 络 安全 性 。 这 时 ， 解 封装 后 的 报 文 如 与 ACL 的 permit 规则 匹配 上 则 采取 后 续 处 理 ， 
否则 丢弃 。 

配置 对 IPSec 解 封装 报 文 进行 ACL 检查 的 方法 很 侧 单 ,就 是 在 系统 视图 下 执行 ipsec 
decrypt check 命令 , 缺 省 情况 下 , 系统 不 对 IPSec 解 封装 报 文 进行 ACL 检查 , 可 用 undo 
ipsec decrypt check 命令 取消 对 IPSec 解 封装 报 文 进行 ACL 检查 。 

4. 配置 报 文 分 性 功 能 

原始 卫 报 文 经 过 IPSec 重 封装 后 ， 报 文 长 度 有 可 能 会 超过 设备 出 接口 的 MTU， 这 
时 就 需要 对 IP 报 文 进行 分 片 ， 以 防止 报 文 丢 失 。 在 IPSec 通信 中 ， 报 文 分 片 功能 有 两 种 
形式 .。 
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(1)〉 加密 前 分 卢 

加 密 前 分 片 是 在 原始 IP 报 文 进行 IPSec 重 封 装 前 ， 加 密 设 备 会 计算 报 文 封装 后 的 预 
计 长 度 〈 毕 竟 所 加 的 字段 和 长 度 是 固定 的 ， 可 以 事先 估计 的 )， 如 采 长 度 超过 出 接口 的 
MTU， 加 密 设 备 先 对 报 文 进行 分 片 ， 对 分 片 后 的 每 个 原始 IP 报 文 分 片 分 别 进 行 IPSec 
加 密 。 这 种 情况 下 对 闹 解 密 设 备 会 将 重组 工作 交 给 终 问 主机 完成 ， 因 为 原始 报 文 就 被 分 
请 了 ， 所 以 最 终 的 报 文 重组 只 能 在 还 原 为 原始 报 文 后 由 目的 设备 来 完成 。 这 种 分 片 方式 
减少 了 对 闯 解 密 设 备 的 CPU 消耗 。 

(2) 加 密 后 分 片 

加 密 后 分 片 是 在 IP 报 文 进行 IPSec 封装 后 ， 如 果 IPSec 报 文 超过 出 接口 的 MTU， 
加 密 设 备 对 IPSec 报 文 按 照 出 接口 的 MTU 进行 分 片 。 这 种 情况 下 对 端 解密 设备 需要 先 
将 IPSec 报 文 重组 后 再 进行 解密 ， 即 IPSec 报 文 的 重组 工作 是 由 对 端 IPSec 设备 完成 的 ， 
因为 此 时 在 源 问 并 不 是 直接 对 原始 IP 报 文 进行 分 片 , 而 是 对 经 过 了 IPSec 重 封 后 的 IPSec 
报 文 进行 分 片 ， 目 然 最 终 的 报 文章 组 工作 是 由 对 端 能 够 识别 IPSec 报 文 的 设备 来 担当 ， 
重组 并 解密 还 原 后 的 原始 IP 报 文才 发 给 终端 主机 。 

配置 报 文 分 片 功 能 的 步骤 如 表 2-8 所 示 。 

表 2-8 配置 报 文 分 片 功能 的 步骤 

tem-view 
配置 IPSec 报 文 的 DF (Don't Fragment) 标志 位 ， 表 示 是 
人 奋 允许 对 报 文 进行 分 片 。 命 令 中 的 选项 说 明 如 下 。 
十 。 clear: 多 选 一 选项 ， 指 定 DF 标志 位 设置 为 0， 人 允许 对 
报 文 进行 分 片 。 
® set: 多 选 一 选项 ， 指 定 DF 标志 位 设置 为 1， 不 允许 对 
| 报 文 进行 分 片 。 
。 copy: 多 选 一 选项 ， 指 定 DF 标志 位 为 原始 IP 报 文 的 标 





说 明 








ipsec df-bit { clear | set | copy } 
例如 : [Huawei] ipsec df-bit 
clear 


可 以 重复 执行 本 命令 ， 但 后 面 的 配置 将 覆盖 前 面 所 进行 的 
配置 。 

| 缺 省 情况 下 ，IPSec 报 文 的 DF 标志 位 设置 采用 copy 方式 ， 
中 即 指 定 DF 标志 位 为 原始 IP 报 文 的 标志 位 

配置 PSec 隧道 报 文 的 分 片 方 式 为 加 密 前 分 片 。 当 允许 对 报 文 
分 片 时 〈( 当 上 一 步 jpsec df-bit 命令 选择 clear 选项 时 ， 或 者 选 
择 copy 选项 , 且 人 P 报 文 的 DF 标识 位 为 0 时), 此 命令 才 有 效 。 
缺 省 情况 下 ，IPSec 隧道 报 文 的 分 片 方式 为 加 密 后 分 片 ， 
可 用 undo ipsec fragmentation 命令 恢复 IPSec 隧道 报 文 的 
分 片 方式 缺 省 配置 


op 


/ 了 
ipsec fragmentation before- 
encryption 
例如 : [Huawe] ipsec 
fragmentation before-encryption 


2.4.6 ”配置 在 接口 上 应 用 安全 策略 组 


以 上 2.4.2 节 、2.4.3 节 、2.4.4 节 的 配置 其 实 最 终 都 是 为 2.4.4 节 的 安全 策略 配置 打 
基础 的 ， 所 以 最 终 的 目的 其 实 就 是 安全 策略 的 配置 。 完 成 了 安全 策略 配置 后 ， 就 要 在 接 
口上 应 用 所 配置 的 安全 策略 ， 使 得 接口 对 所 发 送 的 数据 接受 IPSec 的 保护 。 
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安全 策略 组 是 所 有 具有 相同 名 称 、 不 同 序号 的 安全 策略 的 集合 。 一 个 安全 策略 组 中 
可 以 包含 多 个 手工 和 IKE 动态 协商 方式 策略 (每 个 策略 对 应 一 个 高 级 ACL)， 但 只 能 包 
售 一 个 策略 模板 。 在 同一 个 安全 策略 组 中 ,序号 越 小 的 安全 策略 ， 被 应 用 的 优先 级 越 高 。 

为 了 使 接口 能 对 数据 流 进行 IPSec 保护 ,需要 在 该 接口 上 应 用 一 个 安全 策略 组 (当然 这 
个 安全 策略 组 中 也 可 以 只 包含 一 个 安全 策略 )。 安 全 策略 组 除了 可 以 应 用 到 串口 、 以 太 网 口 
等 实际 物理 接口 上 之 外 ， 还 能 够 应 用 到 Virtual Template 等 虚拟 接口 上 上。 这样 就 可 以 根据 实 
际 组 网 要 求 应 用 安全 策略 组 ， 如 分 支 通 过 PPPoE 拨号 方式 与 总 部 建立 IPSec 隧道 时 ， 需 要 
将 安全 策略 应 用 到 Virtual Template 虚拟 接口 上 , 但 这 种 情形 不 适用 采用 手工 方式 建立 IPSec 
隧道 。 当 取消 安全 策略 组 在 接口 上 的 应 用 后 ， 此 接口 便 不 再 具有 IPSec 的 保护 功能 。 

当 从 一 个 接口 发 送 数据 时 ， 将 按照 从 小 到 大 的 序号 得 找 安 全 策略 组 中 每 一 个 安全 俩 
略 。 如 果 数 据 流 匹配 了 一 个 安全 策略 引用 的 ACL， 则 使 用 这 个 安全 策略 对 数据 流 进行 处 
理 ， 如 果 没 有 匹配， 则 继续 查找 下 一 个 安全 策略 ;如 果 数 据 与 所 有 安全 策略 引用 的 ACL 
都 不 匹配 ， 则 直接 被 发 送 ， 即 IPSec 不 对 数据 流 加 以 保护 。 

接口 应 用 IPSec 安全 策略 组 时 要 注意 以 下 原则 : 

e。 IPSec 安全 策略 应 用 到 的 接口 一 定 是 建立 隧道 的 接口 ， 且 该 接口 一 定 是 到 对 端 私 
网 路 由 的 出 接口 ， 通 常 是 IPSec 设备 连接 Internet 的 接口 。 误 将 IPSec 安全 策略 应 用 到 其 
他 接口 会 导致 VPN 业务 不 通 。 

。 一 个 接口 只 能 应 用 一 个 IPSec 安全 策略 组 ， 一 个 IPSec 安全 策略 组 也 只 能 应 用 到 
一 个 接口 上 《多 链 路 共享 安全 策略 组 除外 )。 

。 当 IPSec 安全 策略 组 应 用 于 接口 后 ， 不 能 修改 该 安全 策略 组 下 安全 策略 的 引用 的 
ACL、 引 用 的 IKE 对 等 体 。 

在 接口 上 应 用 安全 策略 组 的 配置 方法 如 表 2-9 所 示 。 


表 2-9 配置 在 接口 上 应 用 安全 策略 组 的 步骤 





节 要 T re po 和 说 明 
system-view 人 
interface interface-type interface- 

5 number 进入 IPSec 设备 的 WAN 接口 视图 ， 在 手工 方式 下 通常 是 
例如 : [Huawei] interface IPSec 设备 的 公 网 侧 物 理 接口 
ethernet 1/0/0 

在 接口 上 应 用 指定 的 安全 策略 组 。 手 工 方式 的 安全 策略 应 用 

百 ， 会 立即 生成 SA。 正 E 协商 方式 的 安全 策略 应 用 后 ， 则 根 

据 可 选 配 置 的 sa trigger-mode { auto | traffic-based } 命令 设 

置 的 触发 方式 (自动 触发 和 流量 触发 两 种 方式 ) 协商 IPSec 

| SA。 缺 省 情况 下 , IKE 协商 方式 生成 的 人 PSec SA 为 自动 触发 。 
Oy Rp SA 创建 成 功 后 ，IPSec 隧道 间 的 数据 流 将 被 加 密 传输 ，。 

3 例如 : [Huawei-Ethernet1/0/0] 缺 省 情况 下 , 接口 上 没有 应 用 安全 策略 组 , 可 用 undo ipsec 


i policy 命令 从 接口 上 取消 应 用 的 安全 策略 组 。 

【注意 】 一 个 接口 只 能 应 用 一 个 安全 策略 组 ， 一 个 安全 策略 
组 也 只 能 应 用 到 一 个 接口 上 。 如 果 要 在 接口 上 应 用 另 一 个 
安全 策略 组 ， 必 须 先 从 接口 上 取消 应 用 的 安全 策略 组 ， 再 
在 接口 上 应 用 另 一 个 安全 策略 组 
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2.4.7 IPSec 隧道 维护 和 管理 命令 


本 节 所 介绍 的 IPSec 隧道 维护 和 管理 命令 同时 包括 各 种 IPSec 隧道 建立 情形 下 的 相 
关 命 令 〈display 命令 可 在 任意 视图 下 执行 ，reset 命令 须 在 用 户 视 图 下 执行 )， 在 具体 的 
应 用 方案 配置 和 管理 中 选择 应 用 。 这 主要 是 为 了 方便 介绍 ， 更 为 后 面 介 绍 具 体 的 配置 示 
例 时 作 一 个 铺垫 。 这 些 维护 和 管理 命令 主要 包括 。 

。display ipsec proposal [ name proposal-name ]: 查看 提 定 名 称 或 者 所 有 配置 的 
IPSec 安全 提议 的 信息 。 

e display ipsec policy [ brief | name policy-name [ seq-numpber ] ]: 但 看 指定 名 称 〈 或 
同时 指定 序号 ) 或 所 有 配置 的 安全 策略 的 信息 。 

edisplay ipsec policy-template [ brief | name template-name [ seq-number ] ]: 查看 所 
有 或 指定 名 称 《〈 或 同时 指定 序列 号 ) 的 策略 模板 的 配置 信息 。 

e display ipsec Sa [ brief | duration | policy policy-name [ seq-number | | peerip peer- 
ip-address ]: 人 查看 全 局 (选择 duration 选项 时 )， 由 指定 安全 策略 创建 的 ， 或 者 指定 对 等 
体 地 址 的 IPSec SA 的 相关 信息 。 

。 display ipsec profile [ brief | name profile-name ]: 查看 所 有 或 指定 安全 框架 的 配置 


信息 。 

。 display ike peer [ name peer-name ] [ verbose ]: 查看 所 有 或 指定 名 称 的 IKE 对 等 
体 的 配置 信息 。 

。 display ike proposal [ number proposal-number ]: 查看 所 有 或 指定 名 称 的 IKE 安 
全 提议 配置 的 参数 。 


e display ike sa [ conn-id connid | peer-name peername | phase phase-number | verbose |: 
但 看 所 有 或 者 指定 连接 ID、 指 定 对 等 体 或 指定 阶段 的 当前 IKE SA 的 相关 信息 。 

e display ike sa [ v2 ] [ phase phase-number | verbose ]: 查看 所 有 或 指定 阶段 的 当前 
IKEv SA 的 相关 信息 。 

e。 display ipsec policy-template [ brief | name template-name [ seq-number ] ]: 查看 所 
有 或 指定 策略 模板 名 称 的 策略 模板 配置 信息 。 

e display ipsec efficient-vpn [ brief | capability | ip-alloc information | name efficient- 
vpn-name | remote ]: 但 看 所 有 或 指定 Efficient VPN 策略 的 配置 信息 。 

。 display ipsec statistics { ah | esp }: 但 看 IPSec 处 理 的 AH 或 者 ESP 报 文 的 统计 


e display ike statistics { all | msg | v1 | v2 }: 查看 IKE 处 理 的 所 有 或 指定 类 型 报 文 的 
统计 信息 ， 或 仅 显 示 IKE 处 理 报 文 的 统计 计数 。 

。 reset ipsec statistics { ah | esp }: 清除 IPSecAH 或 ESP 报 文 统计 信息 。 

e reset ike statistics { all | msg }: 清除 所 有 IKE 报 文 统 计 信 息 或 仅 清除 IKE 报 文 的 
统计 计数 。 

e reset ipsec sa [ remote ip-address | policy policy-name [ seqg-number | | parameters 
dest-address { ah | esp } spi]: 清除 已 建立 的 指定 SA。 通 过 手工 建立 的 SA 被 删除 后 ， 系 
统 会 目 动 根 据 对 应 的 手工 方式 安全 策略 建立 新 的 SA。 而 通过 IKE 协商 建立 的 SA 被 删除 
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后 ， 如 果 有 报 文 重新 触发 IKE 协商 ，IKE 将 重新 协商 建立 新 的 SA。 

e reset ipsec sa profile profile-name: 清除 指定 安全 框 染 下 生成 的 SA。 通过 IKE 协 
商 建立 的 SA 被 删除 后 ， 如 果 有 报 文章 新 触发 IKE 协商 ，IKE 将 重新 协商 建立 新 的 SA。 

e reset ipsec sa efficient-vpn efficient-vpn-name: 清除 指定 Efficient VPN 策略 生成 
的 SA。 

e reset ike sa { all | conn-id connection-id }: 当前 IKE 建立 的 所 有 或 指定 的 SA。 如 
果 要 删除 通过 IKE 协商 建立 的 IPSec 隧道 ， 可 以 执行 本 命令 删除 用 于 协商 的 IKE SA。 

介绍 了 那么 多 , 下 面 就 要 正式 利用 前 面 介绍 的 基于 ACL 的 手工 方式 建立 IPSec 隧道 
的 具体 配置 与 管理 方法 来 为 大 家 一 些 具体 、 和 典型 的 配置 示例 了 。 通 过 这 些 配置 示例 中 话 
细 的 配置 思路 分 析 和 配置 步骤 介绍 ， 可 以 帮助 大 家 对 前 面 看 似 比 较 复 杂 的 配置 方法 有 一 
个 更 好 的 认识 和 理解 。 


2.4.8 基于 ACL 方式 手工 建立 IPSec 隧道 配置 示例 


如 图 2-18 所 示 ，RouterA 为 公司 分 支 机 构 网 关 ，RouterB 为 公司 总 部 网 关 ， 分 文 机 构 
与 公司 总 部 的 内 部 子 网 通过 公 网 nternet 建 立 通信 连接 .其 中 分 支 机 构 子 网 为 10.1.1.0/24， 
公司 总 部 子 网 为 10.1.2.0/24， 并 且 它 们 中 的 内 部 子 网 用 户 都 已 通过 专线 或 固定 分 配 卫 地 
址 的 某 种 Internet 接 入 方式 成 功 接 入 到 Internet 了 。 


GE1/0/0 GE1/0/0 
202.138.163.1/24 202.138.162.1/24 













GE2/0/0 GE2/0/0 


10.1.2.1/24 


ee 
WII | 


PCB 
10.1.2.2/24 


10.1.1.1/24 









10.1.1.2/24 






分 支 子 网 总 部 子 网 
图 2-18 基于 ACL 方式 手工 建立 IPSec 隧道 配置 示例 拓扑 结构 


公司 希望 对 分 支 机 构 子 网 与 公司 总 部 子 网 之 间 相 互 访问 的 流量 可 以 有 安全 保护 功 
能 ， 即 在 分 支 机 构 网 关 与 公司 总 部 网 关 之 间 建立 一 个 IPSec 隧道 来 实施 安全 保护 。 

假设 本 示例 AR G3 路 由 器 均 运 行 V200R008 版 本 VRP 系统 ， 采 用 IKEvV1 版 本 。 

1. 基本 配置 思路 分 析 

在 本 示例 中 ， 由 于 维护 网 关 较 少 〈 假 设 仅 一 个 分 文 机 构 )， 可 以 考虑 采用 前 面 介 绍 
的 基于 ACL 方式 下 的 手工 方式 建立 IPSec 隧道 ， 其 基本 的 配置 思路 如 下 。 

(1) 配置 各 网 关 设 备 公 / 私 网 接口 当前 的 IP 地 址 ， 以 及 分 支 机 构 公 网 、 私 网 与 总 部 
公 网 、 私 网 互 访 的 静态 路 由 。 

本 示例 中 ， 公 司 总 部 网 关 和 分 支 机 构 网 关 的 WAN 口 都 分 配 到 了 议 态 公 网 IP 地 址 ， 
所 以 可 以 直接 配置 RouterA 和 RouterB 的 公 、 私 网 接口 IP 地 址 ， 以 及 到 达 对 疹 公 、 私 网 
的 静态 路 由 。 但 要 配置 静态 路 由 ， 还 需要 了 解 分 支 机 构 和 公司 总 部 Internet 网 关 所 连接 
的 ISP 设备 接口 的 IP 地 址 ， 它 是 作为 静态 路 由 的 下 一 跳 的 。 
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(2) 配置 ACL， 以 定义 需要 IPSec 保护 的 数据 流 

本 示例 假定 采用 基于 ACL 方式 来 定义 需要 保护 的 数据 流 ， 即 确定 哪些 数据 需要 通 
过 IPSec 隧道 传输 。 因 为 IPSec VPN 通信 是 基于 公 网 Internet 建立 的 , 如 果 不 定义 需要 保 
护 的 数据 流 的 话 ， 就 没有 数据 流 会 通过 IPSec 隧道 传输 ， 而 会 直接 通过 Internet 传输 ， 最 
终 显 然 达 不 到 远程 网 络 互联 的 目的 了 。 

本 示例 很 显然 需要 保护 的 数据 流 是 分 支 机 构 子 网 与 公司 总 部 子 网 之 间 的 通信 ， 其 他 
通过 Internet 的 访问 (如 访问 Internet 网 站 ) 是 直接 在 Internet 中 传输 的 。 

(3) 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 

IPSec 安全 提议 包括 IPSec 使 用 的 安全 协议 、 认 证 /加 密 算法 以 及 数据 的 封装 模式 ， 
定义 了 IPSec 的 保护 方法 ， 为 IPSec 协商 SA 提供 各 种 安全 参数 。 

(4) 配置 安全 策略 ， 在 其 中 要 引用 前 面 配 置 的 用 于 定义 需要 保护 的 数据 流 的 ACL 
和 IPSec 安全 提议 ， 确 定 对 何 种 数据 流 采 取 何 种 保护 方法 。 

在 ACL 方式 手工 建立 IPSec 隧道 的 安全 策略 配置 中 ， 需 要 用 户 分 别针 对 两 端的 出 / 
入 方向 SA 以 手工 方式 配置 认证 /加 密 密 钥 、SPI 等 参数 ， 并 且 隧 道 两 端的 这 些 参数 需要 
镜像 配置 。 即 本 端的 入 方向 SA 参数 必须 和 对 端的 出 方 和 网 SA 参数 一 致 ， 本 疹 的 出 方 回 
SA 参数 必须 和 对 端的 入 方 癌 SA 参数 一 致 。 

(5) 在 IPSec 隧道 端点 的 公 网 接口 上 应 用 前 面 已 配置 的 安全 策略 组 

因为 本 示例 中 两 端的 IPSec 设备 的 WAN 口 (RouterA 和 RouterB 的 GE1/0/0 接口 ) 
是 以 太 网 口 ,， 晶 分 配 有 静态 的 公 网 卫 地 址 , 可 以 直接 在 这 两 个 接口 上 应 用 前 面 所 配置 的 
安全 策略 组 ， 使 从 这 两 个 接口 发 送 的 数据 流 均 通过 IPSec 保护 。 

2. 具体 配置 步骤 

下 面 按照 前 面 所 做 的 配置 思路 分 析 ， 介 绍 有 具体 的 配置 方法 。 

(1) 配置 接口 卫 地 址 和 IPSec 隧道 两 端的 公 网 路 由 

分 别 在 RouterA 和 RouterB 上 配置 接口 的 卫 地 址 和 到 达 对 端的 静态 路 由 。 

# 在 RouterA 上 配置 连接 公 网 、 私 网 的 接口 的 卫 地 址 。 


<Huawel> System-view 

[Huawel] sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabltEthernet1/0/0] ip address 202.138.163.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA] interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0 
[RouterA-GligabltEthernet2/0/0] quit 


# 在 RouterA 上 配置 到 公司 总 部 公 网 接口 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 对 端的 
下 一 跳 IP 地 址 〈 分 文 机 构 端 ISP 设备 与 分 文 机 构 IPSec 设备 连接 的 接口 的 IP 地 址 ) 为 
202.138.163.2。 


[RouterA] ip route-static 202.138.162.1 32 202.138.163.2 #--- 配 置 到 达 总 部 Internet 网 关 RouterB 的 GE1/0/0 接口 的 静 
态 主 机 路 由 ， 当 然 也 可 以 配置 到 达 该 接口 所 对 应 网 段 的 静态 路 由 ， 下 同 
[RouterA] ip route-static 10.1.2.0 24 202.138.163.2 ”#--- 配 置 到 达 总 部 子 网 的 静态 路 由 


【经 验 提 示 】〗 在 这 里 大 家 可 能 有 些 犯 迷 糊 了 ， 到 达 私 网 的 路 由 怎么 指定 一 个 公 网 IP 
地 址 作为 下 一 跳 呢 ? 因为 后 面 的 各 个 配置 示例 中 都 可 能 涉及 到 这 个 问题 ， 所 以 在 此 集中 
一 下 
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在 本 章 前 面 已 介绍 , 这 种 站 点 到 站 点 的 网 络 连 接 必须 采用 隧道 工作 模式 , 而 在 隧 
道 工作 模式 下 ， 原 始 的 IP 报 文 是 需要 再 添加 一 个 以 本 端 IPSec 设备 公 网 接口 IP 地 址 
作为 源 IP 地 址 ， 对 端 IPSec 设备 公 网 接口 IP 地 址 作为 目的 IP 地址 的 新 IP 报 头 ， 所 
以 实际 上 用 户 发 送 的 数据 包 在 Internet 上 还 是 按照 公 网 路 由 表 进 行 转发 的 。 公 网 
Internet 不 可 能 有 私 网 的 路 由 表 ， 此 处 配置 到 达 对 端 私 网 静态 路 由 仅 是 使 本 端 IPSec 
设备 获知 ， 当 它 接 收 到 所 连 网 子 网 发 往 对 端子 网 的 数据 包 时 ,要 从 所 指定 的 下 一 跳 路 
由 进行 转发 ， 至 于 到 达 Internet 后 的 路 由 转发 则 仍 是 按照 ISP 设备 上 配置 的 公 网 路 由 
表 进 行 转发 , 并 不 是 仅 靠 这 一 条 静态 路 由 就 可 以 直接 以 数据 包 发 到 对 端的 内 部 子 网 主 
机 上 的 。 

# 在 RouterB 上 配置 接口 的 IP 地 址 。 


<Huawel> system-view 

[Huawei| sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 202.138.162.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 25$.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 


# 在 RouterB 上 配置 到 分 支 机 构 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 对 端 下 一 跳 地 
址 (公司 总 部 端 ISP 设备 与 公司 总 部 IPSec 设备 连接 的 接口 的 卫 地 址 ) 为 202.138.162.2。 


[RouterB] ip route-static 202.138.163.1 32 202.138.162.2 #-- 配 置 到 达 分 支 机 构 Internet 网 关 RouterA 的 GE1/0/0 接口 的 
静态 主机 路 由 
[RouterB] ip route-static 10.1.1.0 24 202.138.162.2 #--- 配 置 到 达 分 支 机 构 子 网 的 静态 路 由 


(2) 分 别 在 RouterA 和 RouterB 上 配置 ACL， 和 定义 各 目 要 保护 的 数据 流 。 这 里 需要 
定义 的 是 分 文 机 构 内 部 子 网 与 公司 总 部 内 部 子 网 互 访 问 的 卫 数据 流 。 一 般 要 求 采用 镜像 
配置 。 

# 在 RouterA 上 配置 ACL， 定 义 由 子 网 10.1.1.0/24 去 子 网 10.1.2.0/24 的 数据 流 。 


[RouterA| acl number 3100 
[RouterA-acl-adv-3100] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
[RouterA-acl-adv-3100] quit 


# 在 RouterB 上 配置 ACL， 定 义 由 子 网 10.1.2.0/24 去 子 网 10.1.1.0/24 的 数据 流 。 


[RouterB| acl number 3100 
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
[RouterB-acl-adv-3101] quit 


(3) 分 别 在 RouterA 和 RouterB 上 创建 IPSec 安全 提议 。 假 设 所 创建 的 安全 提议 名 
称 均 为 prol (两 端的 安全 提议 名 称 可 以 不 一 致 ， 但 所 配置 的 安全 参数 必须 一 致 )。 创 建 
一 个 新 的 IPSec 安全 提议 后 ， 在 参数 配置 没有 被 修改 前 ， 其 值 为 缺 省 值 〈 前 面 已 介绍 
在 VRPV200R006 以 前 版 本 和 以 后 版 本 中 ， 这 些 参数 的 缺 省 值 是 不 一 样 的 ， 参见 2.4.3 贡 
说 明 )。 在 这 里 假设 设备 运行 的 VRP 系统 是 V200R008 版 本 ， 采 用 缺 省 的 ESP 协议 ， 认 
证 算法 修改 为 SHA1， 加 密 算法 修改 为 AES-128， 其 他 均 采 取 缺 省 配置 。 


[RouterA | ipsec proposal prol 

[RouterA-ipsec-proposal-prol | esp authentication-algorithm shal 
[RouterA-ipsec-proposal-prol | esp encryption-algorithm aes-128 
[RouterA-ipsec-proposal-prol | quit 
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[RouterB] ipsec proposal prol 

[RouterB-ipsec-proposal-prol | esp authentication-algorithm shal 
[RouterB-ipsec-proposal-prol | esp encryption-algorithm aes-128 
[RouterB-ipsec-proposal-prol| quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec proposal 会 显示 所 配置 的 信息 ， 
以 RouterA 为 例 。 


[RouterA] display ipsec proposal name prol 


”IPSec proposal name: prol  #---IPSec 提议 名 称 为 prol 
Encapsulation mode: Tunnel #--- 采 用 隧道 传输 模式 


Transform : esp-new #--- 选 择 新 版 的 ESP 协议 作为 安全 协议 
ESP protocol : Authentication SHA1 #--- 采 用 SHA1 认证 算法 
Encryption AES-128 #--- 采 用 AES-128 加 密 算法 


(4) 分 别 在 RouterA 和 RouterB 上 手工 创建 安全 策略 

在 基于 ACL 的 手工 方式 建立 IPSec 隧道 的 应 用 中 ,需要 用 户 分 别针 对 出 /入 方向 SA 
手工 配置 认证 /加 密 密 钥 、SPI 等 参数 ， 并 且 隧 道 两 端的 这 些 参数 需要 镜像 配置 〈 安 全 策 
略 组 名 称 和 序号 可 以 一 样 ， 也 可 以 不 一 样 )。 即 本 端的 入 方向 SA 参数 必须 和 对 端的 出 方 
问 SA 参数 一 样 ， 本 端的 出 方 同 SA 参数 必须 和 对 端的 入 方 同 SA 参数 一 样 。 另 外 还 要 在 
安全 策略 中 配置 需要 调用 的 ACL、IPSec 安全 提议 ， 以 及 本 端 和 对 端 IPSec 降 道 山 点 的 
IP 地 址 。 

RouterA 上 要 配置 的 安全 策略 参数 如 下 : 

e 手工 方式 安全 策略 名 为 client， 序 号 为 10; 

。 调用 前 面 已 配置 好 的 ACL 3100 和 名 为 prol 的 IPSec 安全 提议 ; 

。 本 端 IPSec 端点 IP 地 址 为 : 202.138.163.1， 即 RouterA GE1/0/0 接口 IP 地 址 ; 

e。 对 端 IPSec 端点 卫 地 址 为 : 202.138.162.1， 即 RouterB GE1/0/0 接口 卫 地 址 ; 

e 入 方向 ESP SA 的 SPI 为 12345， 出 方向 ESP SA 的 SPI 为 54321; 

。 入 方向 ESP SA 的 字符 串 格式 认证 密 钥 为 winda gz， 出 方向 ESP SA 的 字符 串 格 
式 认证 密 钥 为 lycb.comi 

。 入 方 同 ESP SA 的 十 六 进 制 格式 加 密 密 钥 为 1234567890abcdef1234567890abcdef， 
出 方向 ESP SA 的 十 六 进 制 格式 加 密 密 钥 为 abcdefabcdef1234abcdefabcdef1234。 因 为 采 
用 的 是 AES-128 加 密 算法 , 所 以 明文 输入 时 是 16 个 字 市 字符 (每 2 个 字符 为 1 个 字 节 ) 。 

RouterB 上 要 配置 的 安全 策略 参数 如 下 : 

e 手工 方式 安全 策略 名 为 server， 序 号 为 10; 

。 调用 前 面 已 配置 好 的 ACL 3100 和 名 为 prol 的 IPSec 安全 提议 ; 

。 本 端 IPSec 端点 IP 地 址 为 : 202.138.162.1， 即 RouterB GE1/0/0 接口 IP 地 址 ; 

e 对 端 IPSec 端点 IP 地 址 为 : 202.138.163.1， 即 RouterA GE1/0/0 接口 IP 地 址 ; 

e 入 方向 ESPSA 的 SPI 为 54321， 出 方向 ESP SA 的 SPI 为 12345; 

e 入 方 同 ESP SA 的 字符 串 恪 式 认 证 密 钥 为 lycb.com,，, 出 方向 ESP SA 的 字符 串 格式 
认证 密 钥 为 winda gz: 

。 入 方 同 ESP SA 的 十 六 进 制 格 式 加密 密 钥 为 abcdefabcdef1234 abcdefabcdef1234 ， 
出 方 回 ESP SA 的 十 六 进 制 格式 加 密 密 钥 为 1234567890abcdef1234567890abcdef。 
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如 果 选 择 ESP 作为 安全 协议 ， 则 其 认证 密 钥 和 加 密 密 钥 可 同时 配置 , 也 可 仅 选 择 
配置 其 中 一 项 ， 但 不 能 同时 不 配置 。 
# 在 RouterA 上 配置 手工 方式 安全 策略 。 


[RouterA] ipsec policy client 10 manual 

[RouterA-ipsec-policy-manual-client-10] security acl1 3100 ”#--- 调 用 前 面 定 义 的 高 级 ACL 

[RouterA-ipsec-policy-manual-client-10] proposal prol #--- 调 用 前 面 创建 的 名 为 prol 的 安全 提议 

[RouterA-ipsec-policy-manual-client-10] tunnel remote 202.138.162.1 #--- 配 置 对 端 IPSsec 隧道 设备 公 网 接口 的 IP 地 址 

[RouterA-ipsec-policy-manual-client-10] tunnel local 202.138.163.1 #--- 配 置 本 端 IPSsec 隧道 设备 公 网 接口 的 IP 地 址 

[RouterA-ipsec-policy-manual-client-10] sa spi outbound esp 12345 #-- 配 置 本 端 出 方向 SA 的 SPI 采 用 ESP 协议 , SPI 值 为 12345 

[RouterA-ipsec-policy-manual-client-10] sa spi inbound esp 54321 #--- 配 置 本 端 入 方向 SA 的 SPI 采用 ESP 协议 ，SPI 
值 为 54321 

[RouterA-ipsec-policy-manual-client-10] sa string-key outbound esp simple lycb.com  #--- 采 用 字符 串 方式 配置 本 端 出 
方 同 SA 的 ESP 协议 的 认证 密 钥 为 lycb.com 

[RouterA-ipsec-policy-manual-client-10] sa string-key inbound esp simple winda gz #--- 采 用 字符 串 方 式 配 置 本 端 入 方 
同 SA 的 ESP 协议 的 认证 密 钥 为 winda_gz 

[RouterA-ipsec-policy-manual-client-10] sa encryption-hex inbound esp simple 1234567890abcdefl234567890abcdef 
#--- 来 用 十 六 进 制 格 式 配 置 本 端 入 方向 的 ESP 协议 的 加 密 密 钥 为 1234567890abcdef1234567890abcdef 

[RouterA-ipsec-policy-manual-client-10] sa encryption-hex outbound esp simple abcdefabcdef1234abcdefabcdef1234 
abcdefabcdef1234 #--- 采 用 十 六 进 制 格式 配置 本 端 出 方向 的 ESP 协议 的 加 密 密 钥 为 abcdefabcdef1234abcdefabcdef1234 


[RouterA-ipsec-policy-manual-client-10] quit 
# 在 RouterB 上 配置 手工 方式 安全 人 策略。 


[RouterB] ipsec policy server 10 manual 

[RouterB-ipsec-policyl-manual-server-10] security acl 3100 

[RouterB-ipsec-policyl-manual-server-10] proposal prol 

[RouterB-ipsec-policyl-manual-server-10| tunnel remote 202.138.163.1 

[RouterB-ipsec-policyl-manual-server-10] tunnel local 202.138.162.1 

[RouterB-ipsec-policyl-manual-server-10] sa spi outbound esp 54321 #--- 配 置 本 端 入 方向 ESP SA 的 SPI， 必 须 与 
RouterA 上 入 方向 ESP SA 的 SPI 配置 相同 

[RouterB-ipsec-policyl-manual-server-10] sa spi inbound esp 12345 #-- 配 置 本 端 出 方向 ESP SA 的 SPI， 必 须 与 
RouterA 上 出 方向 ESP SA 的 SPI 配置 相同 

[RouterB-ipsec-policyL-manual-server-10] sa string-key outbound esp simple winda gz #--- 配 置 本 端 出 方向 SA 的 ESP 
认证 密 铀 ， 必 须 与 RouterA 上 入 方向 ESP SA 的 认证 密 钥 配置 相同 

[RouterB-ipsec-policyl-manual-server-10] sa string-key inbound esp simple lycb.com #--- 配 置 本 端 入 方 同 SA 的 ESP 认 
证 密 钥 ， 必 须 与 RouterA 上 出 方向 ESP SA 认证 密 钥 配置 相同 

[RouterB-ipsec-policy-manual-server-10] sa encryption-hex inbound esp simple abcdefabcdef1234abcdefabcdef1234 #--- 
配置 本 端 入 方向 SA 的 ESP 加 密 密 钥 ， 必 须 与 RouterA 上 配置 的 出 方向 SA 的 ESP 加 密 密 钥 相同 

[RouterB-ipsec-policy-manual-server-10] sa encryption-hex outbound esp simple 1234567890abcdefl1234567890abcdef 
#--- 配 置 本 端 出 方向 SA 的 ESP 加 密 密 钥 ， 必 须 与 RouterA 上 配置 的 入 方向 SA 的 ESP 加 密 密 钥 相同 

[RouterB-ipsec-policyl-manual-server-10] quit 

此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec policy 会 显示 所 配置 的 信息 ， 
以 RouterA 为 例 。 


[RouterA| display ipsec policy name client 


IPSec policy group: "client” ”#--- 本 端 配 置 的 安全 策略 名 称 为 client 


Using interface: 












三 
f 区 


Sequence numbef: 10 “# -- 安 全 策略 的 序号 为 10 

Security data flow: 3100 。 #-- 所 引用 的 ACL 

Tunnel local address: 202.138.163.1 #--- 本 端 IPSec 隧道 端点 IP 地 址 
Tunnel remote address: 202.138.162.1 ”#--- 对 端 IPSec 隧道 端点 IP 地 址 
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Qos pre-classify: Disable 
Proposal name:prol ”#--- 本 端 创 建 的 安全 策略 名 称 为 prol 
Inbound AH setting: ”#--- 因 为 本 示例 采用 的 是 ESP 协议 作为 认证 和 加 密 协 议 ， 所 以 没有 配置 AH 协议 入 方面 和 
出 方向 SA 相关 的 参数 
AH SPI: 
AH string-key: 
AH authentication hex key: 
Inbound ESP setting: 
ESP SPI: 54321 (0xd431) ”#-- 本 端 ESP 入 方向 SA 的 SPI 值 
ESP string-key: winda gz #--- 本 端 ESP 入 方向 SA 的 认证 密 钥 〈 字 符 串 格式 ) 
ESP encryption hex key: 1234567890abcdef1234567890abcdef ”#--- 本 端 入 ESP 入 方面 SA 加 密 密 钥 〈 十 六 进 制 格式 ) 
ESP authentication hex key: 
Outbound AH setting: 
AH SPI: 
AH string-key: 
AH authentication hex key: 
Outbound ESP setting: 
ESP SPI: 12345 (0x3039) #--- 本 端 出 方向 ESP SA 的 SPI 值 
ESP string-key: lycb.com ” #--- 本 端 出 方向 ESP SA 的 认证 密 钥 〈 字 符 串 格式 ) 
ESP encryption hex key: abcdefabcdef1234 abcdefabcdef1234 #--- 本 端 出 方向 ESP SA 的 加 密 密 钥 (十 六 进 制 格式 ) 
ESP authentication hex key: 


(5) 分 别 在 RouterA 和 RouterB 的 公 网 接口 上 应 用 各 自 配置 的 安全 策略 ， 使 接口 具 
有 IPSec 的 保护 功能 。 
# 在 RouterA 的 GE1/0/0 接口 上 应 用 前 面 在 RouterA 上 配置 的 安全 策略 组 。 


[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ipsec policy client 
[RouterA-GigabitEthernet1/0/0| quit 


# 在 RouterB 的 GE1/0/0 接口 上 应 用 前 面 在 RouterB 上 配置 的 安全 策略 组 。 


[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ipsec policy server 
[RouterB-GigabitEtheret1/0/0] quit 


3， 配置 结果 验证 

以 上 配置 完成 后 , 在 分 文 机 构 主 机 PCA 上 执行 ping 操作 应 该 可 以 ping 通 位 于 公司 
总 部 网 络 的 主机 PCB， 表 明 以 上 配置 是 正确 的 。 

执行 命令 display ipsec statistics esp 可 以 查看 数据 包 的 统计 信息 。 执 行 display ipsec sa 
会 显示 所 配置 的 IPSec SA 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 。 

[RouterA] display ipsec sa 





Interface: GigabitEthernet1/0/0 
Path MTU: 1500 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 


IPSec policy name: "client" 

Sequence number 10 

Acl Group: 3100 

Acl rule: $ 

Mode: Manual “”##-- 本 端 采 用 手工 方式 建立 IPSec 隧道 
Encapsulation mode: Tunnel ”#--- 本 端 IPSec 工作 模式 为 隧道 模式 
Tunnel local : 202.138.163.1 ”#--- 本 端 IPSec 端点 IP 地 址 为 202.138.163.1 
Tunnel remote : 202.138.162.1 ”#--- 对 端 IPSec 端点 IP 地 址 为 202.138.162.1 
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Qos pre-classify : Disable #--- 按 缺 省 禁用 了 对 原始 报 文 信息 的 预 提 取 功 能 


[Outbound ESP SAs] ”#--- 出 方向 ESP SA 参数 
SPI: 12345 (0x3039) #-- 出 方向 ESP SA 的 SPI 为 12345 
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1  #--- 出 方向 ESP SA 的 安全 提议 参数 ， 采 用 AES-256 加 
密 算法 、SHA1 认证 算法 
No duration limit for this SA 。 #--- 指 定 SA 的 生存 周期 ， 因 为 是 手工 方式 创建 的 ， 所 以 永久 有 效 
[Inbound ESP SAs] ”#-- 入 方向 ESP SA 参数 
SPI: 54321 (0xd431) #--- 入 方 同 ESP SA 的 SPI 为 54321 
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1 #--- 入 方向 ESP SA 的 安全 提议 参数 ， 采 用 AES-128 加 
密 算 法 、SHA1 认证 算法 
No duration limit for this SA 


2.5 基于 ACL 方式 手工 建立 IPSec 隧道 的 典型 故障 排除 


在 IPSec VPN 的 应 用 方案 配置 中 ， 无 论 采 用 哪 种 具体 的 IPSec 隧道 建立 方式 ， 都 主 
要 存在 两 种 可 能 的 故障 情形 : 一 是 IPSec 隧道 建立 不 成 功 ， 二 是 虽然 IPSec 隧道 建立 成 
功 了 ,但 两 端 仍 不 能 通信 。 本 节 仅 专门 针对 基于 ACL 方式 的 手工 建立 IPSec 隧道 的 配置 
方案 中 ， 针 对 以 上 两 种 典型 故障 介绍 具体 的 排除 思路 。 


2.5.1 IPSec 隧道 建立 不 成 功 的 故障 排除 


这 种 故障 现象 最 常见 ， 但 由 于 在 手工 方式 建立 IPSec 隧道 的 配置 方案 中 ， 上 所 有 用 于 
建立 最 终 的 IPSec SA 参数 都 是 手工 配置 的 ， 所 以 如 果 一 切 按照 要 求 配置 了 ，JIPSec 隧道 
是 肯定 可 以 建立 起 来 的 。 但 事实 上 ， 可 能 我 们 在 配置 过 程 中 没有 充分 注意 本 章 前 面 所 介 
绍 的 一 些 注意 事项 。 下 面 就 通过 介绍 这 种 故障 的 排除 方法 来 帮助 大 家 回顾 本 章 前 面 针 对 
手工 方式 建立 IPSec 隧道 的 配置 方案 中 的 一 些 注 意 事 项 。 

1. 两 端 或 其 中 一 端 没 有 成 功 接 入 Internet 

为 IPSec VPN 通常 是 在 公 网 一 一 Internet 上 构建 虚拟 隧道 来 实现 远程 网 络 连接 的 ， 
所 以 其 前 提 就 是 两 端 必须 已 成 功 接 入 到 了 Internet， 并 且 IPSec 隧道 两 器 所 连接 的 公 网 、 
私 网 路 由 都 是 通 的 ， 这 也 是 我 们 在 2.4 节 正 式 介 绍 具体 的 IPSec 配置 前 就 提 到 的 其 中 一 
个 前 提 。 

排除 方法 是 首先 从 一 端 内 网 主机 ping 另 一 端 IPSec 设备 的 公 网 侧 接口 IP 地 址 ， 能 
ping 通则 证 明 两 端 都 已 成 功 接 入 Internet， 且 两 端的 路 由 配置 也 是 正确 的 ， 否 则 检 和 在 
Internet 接 入 和 两 端 到 达 对 端 公 网 、 私 网 的 路 由 配置 〈 包 括 源 /目的 主机 的 网 关 配 置 )。 有 
关 两 端 到 达 对 端 所 连接 的 公 网 、 私 网 的 路 由 配置 可 参照 2.4.8 市 配置 示例 相应 部 分 。 

2. 两 端的 IPSec 配置 不 正确 

排除 了 线路 和 路 由 的 问题 后 ， 再 来 检查 两 端的 IPSec 配置 了 ， 这 里 最 容易 出 问题 ， 
因为 有 许多 地 方 在 配置 时 要 特别 注意 。 以 下 任何 其 中 一 条 配置 不 符合 要 求 都 可 能 造成 
IPSec SA 建立 不 了 ， 也 就 使 IPSec 隧道 建立 不 成 功 。 

(1) 看 两 端的 IPSec 安全 提议 配置 是 否 一 至 

可 在 两 端的 IPSec 设备 上 执行 display ipsec proposal 命令 〈 输 出 类 似 如 下 所 示 )， 要 
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求 两 端 最 终 显示 出 的 封装 模式 (Encapsulation mode)、 所 使 用 的 安全 协议 〈Transform )， 
以 及 所 选 安全 协议 所 使 用 的 认证 或 加 密 算法 〈 加 密 算 法 仅 在 选择 ESP 协议 时 有 ) 配置 必 
须 完 全 一 致 。IPSec 安全 提议 名 称 (IPsec proposal name) 和 序号 (Number of proposals ) 
可 不 一 样 。 


<Huawel> display ipsec proposal 
Number of proposals: 1 


IPsec proposal name: prol 
Encapsulation mode: Tunnel 
Transform : esp-new 
ESP protocol : Authentication SHA1-HMAC-96 
Encryption DES 





“在 华为 VRP 系统 中 ，V200R006 以 前 版 本 和 以 后 版 本 的 IPSec 安全 提议 中 的 认证 
算法 和 加 密 算 法 的 缺 省 值 是 不 一 样 的 ,要 认真 核查 两 端 设备 运行 的 VRP 系统 版 本 , 确保 
两 端的 IPSec 安全 提议 参数 配置 一 致 。 


另外 ， 站 点 到 站 点 的 连接 必须 使 用 隧道 (Tunnel) 封装 模式 ， 而 不 能 使 用 传输 
(Transport) 封装 模式 。 在 手工 方式 建立 IPSec 隧道 的 配置 方案 中 ， 认 证 算法 也 不 能 采用 
SM3 算法 。 

(2) 安全 策略 中 的 配置 没 按 要 求 配 置 成 镜像 ， 或 保持 一 致 

在 手工 方式 建立 IPSec 隧道 时 ， 安 全 参数 必须 手工 一 条 条 配置 ， 而 且 大 多 数 配置 两 
冰 必 须 是 镜像 配置 〈 但 所 选 安 全 协议 必须 一 致 ， 安 全 策略 名 称 和 序号 两 端 可 以 不 一 致 )， 
如 一 端的 本 问 / 对 器 卫 地 址 必须 与 对 端 配置 的 对 端 /本 端 了 地 址 对 应 一 致 ，SA 出 /入 方面 
的 SPI、 密 钥 参 数 配置 也 是 一 样 的 。 

另外 ， 隧 道 两 端的 IP 地 址 配置 必须 是 IPSec 设备 连接 公 网 侧 接口 的 公 网 IP 地 址 ， 
出 /入 方向 SA 的 SPI 值 不 能 设置 成 相同 值 ， 即 不 同 的 SA 必须 对 应 于 不 同 的 SPI， 具 体 
要 求 参见 2.4.4 节 。 

可 在 两 端的 IPSec 设备 上 执行 display ipsec policy 命令 ， 查 看 两 端的 安全 策略 配置 ， 
要 求 镜像 配置 的 各 参数 参见 下 面 说 明 。 


[RouterA | display ipsec policy name client 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 





IPSec policy group: "client" 
Using interface: 


一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Sequence number: 10 

Security data flow: 3100 

Tunnel local address: 202.138.163.1 #--- 本 闻 IPSec 隧道 端点 卫 地 址 , 必须 与 另 一 端 配置 的 对 端 IPSec 隧道 端点 
IP 地 址 一 致 
Tunnel remote address: 202.138.162.1 ” #--- 对 端 IPSec 隧道 端点 IP 地 址 ， 必 须 与 男 一 端 配置 的 本 端 IPSec 隧道 端 
点 IP 地 址 一 致 

Qos pre-classify: Disable 

Proposal name:prol 

Inbound AH setting: 

AH SPI: 
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AH string-key: 
AH authentication hex key: 
Inbound ESP setting: 
ESP SPI: 54321 (0xd431) ” #-- 本 端的 入 方向 SA 的 SPI 必须 和 对 端的 出 方向 的 SPI 一 致 
ESP string-key: winda_ gz  #--- 本 端的 入 方向 SA 的 认证 密 钥 必须 和 对 端的 出 方向 SA 的 认证 密 钥 相同 
ESP encryption hex key: 1234567890abcdef #--- 本 端的 入 方向 SA 的 加 密 密 钥 必须 和 对 端的 出 方向 SA 的 加 密 
密 钥 相 同 
ESP authentication hex key: 
Outbound AH setting: 
AH SPI: 
AH string-key: 
AH authentication hex key: 
Outbound ESP setting: 
ESP SPI: 12345 (0x3039) #--- 本 端的 入 出 向 SA 的 SPI 必须 和 对 端的 入 方向 的 SPI 一 致 
ESP string-key: lycb.com  #--- 本 端的 出 方 同 SA 的 认证 密 钥 必须 和 对 端的 入 方向 SA 的 认证 密 钥 相同 - 
ESP encryption hex key: abcdefabcdef1234 #--- 本 端的 出 方向 SA 的 加 密 密 钥 必须 和 对 端的 入 方向 SA 的 加 密 密 
钥 相 同 

ESP authentication hex key: 
另外 ， 各 认证 密 钥 和 加 密 必 钥 的 输入 格式 《字符 串 格式 或 十 六 进 制 格式 ) 两 应 必须 
一 致 ， 密 钥 长 度 与 所 选 定 的 算法 要 求 匹 配 ， 人 否则 所 配置 的 密 钥 也 是 无 效 的 ， 也 不 能 用 它 
们 来 成 功 建立 IPSec 隧道 。 具 体 要 求 参见 2.4.4 市 表 2-4 中 的 相应 说 明 。 

(3) 在 安全 策略 中 没有 引入 所 配置 的 IPSec 安全 提议 。 

在 手工 方式 建立 IPSec 隧道 中 的 安全 策略 配置 中 ， 必 须要 引用 所 创建 的 IPSec 安全 
提议 〈IPSee 安全 提议 也 必须 先 创建 好 ， 因 为 缺 省 情况 下 ， 系 统 没有 配置 IPSec 安全 所 
议 ， 但 各 项 参数 配置 可 以 直接 采用 缺 省 配置 )， 否 则 IP Sec SA 也 是 无 法 建立 成 功 的 。 可 
在 IPSec 设备 上 执行 display ipsec proposal 命令 查看 所 配置 的 IPSec 安全 提议 信息 ， 如 
果 显 示 为 空 ， 或 者 没 见 到 你 在 安全 策略 中 所 引用 的 安全 提议 ， 则 要 重新 配置 了 。 

(4) 两 疹 定 义 的 需要 保护 数据 流 的 不 匹配 。 

从 2.4.2 节 的 介绍 可 知 ， 要 使 两 端 能 成 功 建立 SA， 两 器 有 ACL 配置 最 好 是 镜像 的 ， 
也 就 是 两 端 所 配置 的 源 / 目 的 IP 地 址 等 信息 是 直接 互 换 的 。 当 对 等 体 间 ACL 规则 非 镜像 
配置 时 ， 仅 当 协 商 发 起 方 的 ACL 规则 定义 的 范围 小 于 啊 应 方 ACL 规定 定义 的 犯 围 时 ， 
SA 才能 成 功 建立 。 

可 以 通过 在 两 端 IPSec 设备 上 进入 对 应 的 ACL 视图 后 再 执行 display this 命令 查看 
其 中 各 条 ACL 规则 的 配置 ， 看 是 否 符合 以 上 要 求 。 还 要 注意 的 是 ， 只 有 与 permit 规则 
匹配 的 数据 流 才 会 进入 到 IPSec 隧道 被 IPSec 保护 。 

(5) 安全 策略 应 用 的 接口 错误 ， 或 者 接口 有 问题 。 

在 手工 方式 建立 IPSec 隧道 方案 中 ， 安 全 策略 通常 都 是 在 IPSec 设备 连接 公 网 的 物 
理 接 口上 应 用 的 ， 但 这 个 接口 必须 是 三 层 接口 ， 且 配置 了 卫 地 址 ， 当 然 还 必须 是 已 十 
Up 状态 的 。 如 有 疑问 可 在 对 应 设备 上 执行 display interface xxxx (XXXxx 代表 接口 类 型 的 
编号 ) 查看 。 


2.5.2 ”IPSec 隧道 建立 成 功 ， 但 两 端 仍 不 能 通信 的 故障 排除 


在 手工 方式 建立 IPSec 隧道 中 其 实 很 难 确定 IPSec 隧道 是 否 建立 成 功 ， 因 为 参数 都 
是 手工 配置 的 ， 通 过 执行 display ipsec sa 命令 所 能 查看 到 的 都 是 手工 配置 的 这 些 参 数 ， 
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包括 策略 应 用 的 接口 、IPSec 安全 策略 (包括 各 项 已 配置 的 参数 值 或 所 采用 的 缺 省 值 ) ， 
以 及 在 安全 策略 中 所 引用 的 IPSec 安全 提议 。 


[RouterA] display ipsec sa 


一 一 一 一 一 一 一 


Interface: GigabitEthernet1/0/0 
Path MTU: 1500 














IPSec policy name: "client" 

Sequence number: 10 

Acl Group: 3100 

Acl rule: 5 

Mode: Manual “” 太 -- 本 端 采 用 手工 方式 建立 IPSec 隧道 


-一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Encapsulation mode: Tunnel ”#--- 本 端 IPSec 工作 模式 为 隧道 模式 

Tunnel local : 202.138.163.1 ”#-- 本 端 IPSec 端点 IP 地 址 为 202.138.163.1 
Tunnel remote : 202.138.162.1 ”#--- 对 端 IPSec 端点 IP 地 址 为 202.138.162.1 
Qos pre-classify : Disable #--- 按 缺 省 禁用 了 对 原始 报 文 信息 的 预 提 取 功 能 


[Outbound ESP SAs]  #--- 出 方向 ESP SA 参数 
SPI: 12345 (0x3039) #--- 出 方向 ESP SA 的 SPI 为 12345 
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1 ”#-- 出 方向 ESP SA 的 安全 提议 参数 , 采用 DES 加 密 算 
法 、SHA1 认证 算法 
No duration limit for this SA 。 #--- 指 定 SA 的 生存 周期 ， 因 为 是 手工 方式 创建 的 ， 所 以 永久 有 效 


[Inbound ESP SAs] ”#-- 入 方向 ESP SA 参数 
SPI: 54321 (0xd431) #--- 入 方 癌 ESP SA 的 SPI 为 54321 
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA1 #--- 入 方向 ESP SA 的 安全 提议 参数 
No duration limit for this SA 


如 果 出 现 两 端 不 能 通信 时 仍 可 以 从 以 下 两 方面 来 考虑 。 

(1) 两 端 私 网 通信 的 数据 流 没有 进入 IPSec 隧道 

这 主要 是 因为 两 端 所 创建 的 用 于 定义 需要 保护 数据 流 的 高 ACL 配置 不 正确 ， 没 有 
把 两 端 所 连接 的 私 网 IP 网 段 的 数据 流 允 许 进入 IPSec 隧道 ， 这 时 这 些 数据 流 就 会 通过 
Internet 来 转发 了 ， 目 然 到 达 不 到 对 端的 私 网 。 

(2) 两 器 IPSec 设备 上 所 配置 的 到 达 对 端 公 网 、 私 网 路 由 不 正确 

许多 人 豆 欢 用 缺 省 路 由 来 指定 一 端 到 达 对 端的 静态 路 由 ， 这 是 很 不 合理 的 。 因 为 如 
果 你 ee 为 数据 指定 明确 路 由 的 话 ， 所 有 进入 设备 的 数据 包 都 将 采用 这 一 条 缺 省 路 由 来 
转发 ， 不 管 是 从 哪个 接口 进来 的 数据 包 。 这 样 会 导致 IPSec 设备 上 本 来 是 从 对 端 接收 的 
re E 被 从 指定 的 缺 省 路 由 转发 出 去 了 ， 这 时 上 自然 就 不 通 了 。 所 以 建议 为 到 达 对 
端 公 网 、 私 网 配置 明确 的 路 由 。 

另外 ， 两 痛 主 机 的 网 关 配置 也 要 正确 ， 否 则 发 到 对 端的 数据 束 不 能 正确 地 转发 到 
IPSec 设备 上 ， 再 由 IPSec 设备 转发 到 目的 主机 了 。 

如 果 源 或 目的 主机 不 是 直接 与 IPSec 设备 的 LAN 接口 在 同一 IP 网 段 〈 即 中 间隔 了 
其 他 三 层 设备 )， 这 时 就 需要 在 IPSec 设备 和 其 他 三 层 设备 上 配置 好 路 由 ， 使 得 来 自 源 主 
机 IP 数据 包 在 到 达 对 妆 IPSec 设备 时 能 正确 通过 路 由 转发 到 目的 主机 上 。 





冲 3 量 
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本 章 专 门 介绍 在 基于 ACL 定义 需要 保护 的 数据 流 的 手工 方式 建立 IPSec 隧道 方案 
下 ， 采 用 IKE 协议 动态 协商 方式 建立 IPSec 隧道 的 配置 与 管理 方法 ， 并 在 最 后 介绍 了 在 
IKE 动态 协商 方式 下 ，IPSec VPN 典型 故障 的 排除 方法 。 

”与 第 2 章 介 绍 的 基于 ACL 定义 需要 保护 的 数据 流 的 手工 方式 建立 IPSec 隧道 方案 相 

比 ， 采 用 IKE 协议 动态 协商 方式 主要 有 以 下 两 方面 的 优势 。 

1. 减少 配置 工作 量 

在 手工 方式 建立 IPSec 隧道 方案 中 ， 在 安全 策略 中 配置 的 参数 非常 多 ， 特 别 是 需 
手动 指定 出 /入 方向 SA 的 SPI 参数 、 认 证 密 钥 和 加 密 密 钥 。 这 不 仅 容易 出 错 ， 而 且 比 较 
麻烦 .在 对 等 体 比 较 多 的 情况 下 , 配置 的 工作 量 还 很 大 。 而 在 IKE 动态 协商 方式 建立 IPSec 
隧道 方案 中 ， 像 SPI 和 各 种 密 钥 的 配置 就 不 需要 了 ， 因 为 此 时 这 些 参数 都 是 由 IKE 协议 
根据 双方 的 Cookie 值 和 密 钥 材料 协商 来 最 终 确定 的 。 

2. 安全 性 更 高 

在 手工 方式 建立 IPSec 隧道 方案 中 ，SPI 和 密 钥 都 是 静态 配置 的 ， 而 且 一 旦 配置 就 
不 会 改变 (除非 重新 配置 )， 显 然 安 全 性 不 是 很 高 。 而 在 IKE 动态 协商 方式 建立 IPSec 
隧道 方案 中 ，SA 的 SPI 和 密 钥 都 无 需 静 态 配置 ， 是 由 IKE 动态 产生 的 ， 非 法 攻击 者 很 
难 获知 ， 连 管理 员 也 很 难 及 时 获知 ， 安 全 性 明显 提高 。 而 且 在 IKE 动态 协商 方式 中 ,还 
可 通过 DH 协议 交换 双方 的 信息 重新 产生 新 的 SA， 而 新 的 SA 又 对 应 新 的 SPI 和 密 钥 ， 
进一步 提高 了 配置 和 通信 的 安全 性 。 

另外 ， 在 基于 ACL 方式 的 IKE 动态 协商 建立 IPSec VPN 的 配置 中 ， 又 因 所 采用 的 
IKE 协议 版 本 (V1 或 v2 ) 和 安全 策略 创建 方式 的 (ISAKMP 方式 和 策略 模板 方式 ) 的 不 
同 ， 因 此 有 多 种 不 同 的 具体 配置 方案 ， 本 章 都 将 分 别 予 以 介绍 。 

本 章 最 后 也 将 介绍 在 IKE 动态 协商 IPSec VPN 的 过 程 中 可 能 出 现 的 一 些 典型 故障 的 
排除 方法 ， 希 望 对 大 家 在 实际 的 IPSec VPN 维护 过 程 中 有 所 帮助 。 


3.1 配置 基于 ACL 方式 通过 IKE 协商 建立 IPSec 隧道 


本 书 第 2 章 已 介绍 了 基于 ACL 方式 下 的 手工 方式 建立 IPSec 隧道 的 具体 配置 方法 ， 
从 中 可 以 看 出 ， 其 在 安全 策略 配置 中 所 需 配置 的 参数 比较 多 ， 所 以 主要 适用 于 对 等 体 比 
较 少 的 情形 下 。 如 果 存 在 一 对 多 的 连接 情形 ， 采 用 手工 方式 配置 需要 分 别 为 所 连接 的 多 
个 不 同 对 等 体 配 置 详细 的 安全 策略 参数 ， 这 显然 工作 量 比较 大 。 这 时 一 般 采 用 IKE 动态 
协商 方式 来 建立 安全 策略 ， 以 减少 工作 量 ， 这 种 方法 至 少 不 再 需要 配置 各 种 SA 密 钥 了 ， 
其 全 部 由 IKE 协议 根据 密 钥 材料 自动 生成 ， 安 全 性 更 高 。 

在 采用 ACL 方式 下 通过 IKE 协商 方式 建立 IPSec 隧道 之 前 ， 需 完成 以 下 任务 〈 前 3 
项 要 求 与 ACL 方式 下 手工 方式 建立 IPSec 隧道 的 一 样 )。 

。 实现 双方 到 达 对 端的 内 /外 网 路 由 的 畅通 。 

。 通过 高 级 ACL 确定 需要 IPSec 保护 的 数据 流 。 

。 确定 数据 流 被 保护 的 强度 ， 即 确定 使 用 的 IPSec 安全 提议 的 参数 。 

。 确定 安全 策略 是 通过 ISAKMP 创建 ， 还 是 通过 策略 模板 来 创建 。 
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3.1.1 |IKE 动态 协商 方式 配置 任务 及 基本 工作 原理 


与 在 第 2 章 介绍 的 手工 方式 建立 IPSec 隧道 方案 一 样 ， 在 此 也 先 来 介绍 IKE 动态 协 
商 方式 建立 IPSec 隧道 方案 的 基本 配置 任务 ， 然 后 从 所 介绍 的 配置 任务 中 分 析 IKE 动态 
协商 IPSec VPN 方案 的 基本 工作 原理 。 

1. IKE 动态 协商 方式 建立 IPSec 隧道 的 配置 任务 

在 采用 基于 ACL 方式 IKE 动态 协商 建立 IPSec 隧道 的 应 用 中 ， 所 涉及 的 配置 任务 
如 下 (其 中 有 许多 是 与 基于 ACL 方式 手工 建立 IPSec 隧道 的 配置 任务 及 配置 方法 完全 一 
样 的 )。 

(1) 定义 需要 保护 的 数据 尝 

与 手动 方式 下 的 配置 方法 完全 一 样 ， 参 见 第 2 章 2.4.2 市 。 

(2) 配置 IPSec 安全 提议 

与 手动 方式 下 的 配置 方法 完全 一 样 ， 参 见 第 2 章 2.4.3 节 。 

(3)〈 可 选 ) 定义 IKE 安全 提议 

这 是 IKE 动态 协商 方式 中 特有 的 配置 任务 ， 但 它 是 一 项 可 选 配置 任务 ， 因 为 系统 存 
在 一 个 缺 省 的 IKE 安全 提议 Default， 在 其 中 各 参数 都 取 缺 省 值 。 当 不 应 用 新 的 IKE 安 
全 提议 时 系统 会 自动 采用 缺 省 的 IKE 安全 提议 。 如 果 用 户 创建 一 个 IKE 安全 提议 时 只 指 
定 序号 ， 这 个 安全 提议 的 参数 也 是 缺 省 配置 的 参数 。 

IKE 安全 提议 是 IKE 对 等 体 的 一 个 组 成 部 分 , 定义 了 对 等 体 进行 IKE 协商 时 使 用 的 
参数 ， 包 括 认 证 方法 〈 预 共享 密 钥 、RSA 数字 签名 、RSA 数字 信封 )、 认 证 算法 (md5、 
shal 、sha2-256、sha2-384、sm3 等 )、 加 密 算 法 (des、3des、aes-128、aes-256 、sml、 
sm4 等 )、DH 组 (groupl1、group2、group5、group14 等 ) 和 IKE SA 存活 时 间 等 。 可 以 
定义 多 组 IKE 安全 提议 ， 以 便 在 与 多 个 不 同 对 等 体 协商 时 采用 不 同 的 IKE 安全 提议 。 

(4) 配置 IKE 对 等 体 

IKE 对 等 体 的 配置 包括 引用 上 一 任务 中 配置 的 IKE 安全 提议 ， 配 置 所 采用 的 认证 算 
法 对 应 的 认证 密 钥 、IKEv1 阶段 1 协商 模式 〈 主 模式 或 野蛮 模式 ) 和 一 些 可 选 扩展 参数 
(包括 本 端 IP 地 址 、 对 端 IP 地 址 、IKEv2 重 认 证 的 时 间 间 隔 )。 

(5) 配置 安全 策略 

在 IKE 动态 协商 建立 IPSec 隧道 的 方式 中 ， 配 置 安全 策略 又 有 两 种 方法 : 一 是 通过 
ISAKMP 创建 ， 另 一 种 是 通过 策略 模板 创建 ， 它 们 与 在 第 2 章 2.4.4 节 介 绍 的 手工 方式 
下 的 安全 策略 的 配置 方法 有 很 大 不 同 。 

在 通过 ISAKMP 创建 安全 策略 的 方法 中 ， 需 要 引用 前 面 定 义 的 保护 数据 流 ACEL、 
IPSec 安全 提议 和 对 等 体 , 以 及 配置 一 些 可 选 扩展 参数 , 如 NAT 穿越 功能 、NAT Keepalive 
定时 器 、IPSec 隧道 绑 定 VPN 实例 、 多 链 路 共享 、 路 由 注入 、 抗 重 放 、ACL 推送 、 对 等 

在 通过 策略 模板 创建 安全 策略 的 方法 中 ， 需 要 引用 前 面 定 义 的 IPSec 安全 提议 和 对 
等 体 〈 不 需要 引用 用 来 定义 需要 保护 的 数据 流 的 ACL， 即 这 种 ACL 可 不 配置 )， 还 可 配 
置 一 些 可 选 扩展 参数 〈 同 通过 ISAKMP 创建 方式 )。 然 后 创建 一 个 ISAKMP 安全 策略 ， 
并 引用 前 面 所 配置 的 策略 模板 。 
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以 上 第 (1) 至 第 (4) 项 配置 任务 也 主要 是 为 了 第 ($) 项 配置 任务 一 安全 策 
略 的 配置 服务 的 ， 因 为 它们 最 终 都 要 在 安全 策略 配置 中 被 引用 。 最 后 就 是 在 接口 上 应 用 
所 配置 的 安全 策略 ， 完 成 IPSec 隧道 的 建立 。 


(6) 在 接口 上 应 用 安全 策略 组 

与 手动 方式 下 的 配置 方法 完全 一 样 ， 参 见 第 2 章 2.4.6 节 。 

2. IKE 动态 协商 方式 建立 IPSecVPN 方案 基本 工作 原理 

从 以 上 配置 任务 可 以 看 出 , 总体 来 说 IKE 动态 协商 方式 所 涉及 的 配置 任务 比较 复杂 ， 
其 原因 是 在 IKE 动态 协商 方式 中 不 是 直接 通过 两 端的 IPSec 安全 提议 和 手工 配置 的 各 项 
安全 策略 参数 就 可 以 建立 IPSec SA， 而 必须 先 在 两 端 建立 IKE SA， 也 就 是 先 要 在 两 端 
协商 好 IKE 协议 动态 协商 所 需 的 安全 参数 。 这 相 比 手工 方式 来 说 多 出 了 两 个 非常 重要 的 
配置 任务 : 一 是 IKE 安全 提议 的 配置 ， 另 一 个 就 是 IKE 对 等 体 的 配置 。 所 以 总 体 来 说 ， 
在 IKE 动态 协商 方式 的 IPSec VPN 方案 基本 工作 原理 与 手工 方式 的 IPSecVPN 方案 基本 
工作 原理 相 比 也 主要 是 多 了 这 两 部 分 ， 具 体 如 下 。 

。 两 端的 IPSec 设备 通过 各 自 配 置 的 IKE 安全 提议 和 IKE 对 等 体 配 置 协商 出 双方 都 
接受 的 IKE 协商 安全 参数 ， 最 终 建 立 IKE SA。 

e。 利用 上 一 步 生 成 的 IKE SA, 以 及 IPSec 安全 提议 和 安全 策略 配置 , 最 终 建立 IPSec 
SA， 完 成 IPSec 隧道 的 建立 。 

。 后 续 的 流程 就 与 手工 方式 的 流程 一 样 了 ， 参 见 第 2 章 2.4.1 节 第 2 点 说 明 。 

下 面 仅 针对 以 上 与 前 面 手工 方式 下 的 配置 方法 不 一 样 的 配置 任务 的 具体 配置 方法 
进行 介绍 ， 包括 IKE 安全 提议 、IKE 对 等 体 、 安 全 策略 (包括 一 些 可 选 的 扩展 功能 配置 》 
这 几 项 。 


3.1.2 ”定义 IKE 安全 提议 


IKE 安全 提议 其 实 就 是 两 端 在 进行 IKE SA 协商 前 双方 所 提 的 安全 建议 ， 其 中 的 主 
要 参数 配置 (如 加 密 算法 、 认 证 方法 、 认 证 算法 和 DH 组 ) 必须 保持 一 致 。 总 体 上 与 用 
于 IPSecSA 协商 时 的 IPSec 安全 提议 的 作用 类 似 。 

IKE 安全 提议 的 配置 其 实 是 IKE 对 等 体 配 置 的 一 部 分 , 即 IKE 安全 提议 也 是 两 端 建 
并 对 等 体 关 系 的 一 部 分 参数 。IKE 安全 提议 是 以 一 个 序号 标识 的 ， 但 在 一 个 对 等 体 中 可 
以 引用 多 组 IKE 安全 提议 (当然 也 可 只 引用 一 个 IKE 安全 提议 )，IKE 安全 提议 的 序号 
代表 了 安全 提议 的 优先 级 ， 序 号 数值 越 小 ， 优 先 级 越 高 。 但 协商 双方 必须 至 少 有 一 条 匹 
配 的 IKE 安全 提议 才能 协商 成 功 。 

在 进行 IKE 协商 时 , 发 起 方 会 将 自己 的 IKE 安全 提议 发 送 给 对 端 , 由 对 端 进行 匹配 ， 
啊 应 方 则 从 目 己 优先 级 最 高 的 IKE 安全 提议 开始 ， 按 照 优 先 级 顺序 与 对 端 进行 匹配 ， 直 
到 找到 一 个 匹配 的 IKE 安全 提议 来 使 用 。IKE 安全 提议 的 匹配 原则 是 : 协商 双方 具有 相 
同 的 加 密 算 法 、 认 证 方法 、 认 证 算法 和 DH 组 。 匹 配 的 IKE 安全 提议 的 IKE SA 的 生存 
周期 则 取 两 端的 最 小 值 。 匹 配 的 IKE 安全 提议 将 被 用 来 在 两 端 建立 IKE SA。 
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|“ 在 未 创建 IKE 安全 提议 时 ， 系 统 存 在 一 个 优先 级 最 低 ， 参 数 为 缺 省 配置 的 IKE 
安全 提议 Default。 如 果 用 户 创建 一 个 IKE 安全 提议 时 只 指定 序号 , 这 个 安全 提议 的 参数 
也 是 缺 省 配置 的 参数 。 但 在 VRP 系统 V200R006 以 前 版 本 和 V200R006 及 以 后 版 本 中 ， 
这 些 参数 的 缺 省 值 不 完全 一 样 。 在 V200R006 以 前 版 本 中 各 IKE 安全 提议 参数 的 缺 省 值 
见 表 3-1， 在 V200R006 及 以 后 版 本 中 各 IKE 安全 提议 参数 的 缺 省 值 见 表 3-2。 





要 3-1 VRP V200R006 以 lini bal al 配置 
缺 省 IKE 安全 提议 Default 
使 用 的 认证 方法 pre-shared key 认证 方法 
使 用 的 认证 算法 HMAC-SHA-1l 
使 用 的 加 密 算 法 DES-CBC 
采用 的 DH 密 钥 交 换 参 数 group1 〈 即 DH1)，768 位 的 Diffie-Hellman 组 
IKE SA 的 生存 周期 86 400 秒 


IKEv2 采用 的 伪 随 机 数 产生 函数 的 算法 HMAC-SHA-l 





表 3-2 VRP V200R006 及 以 后 版 本 中 缺 省 安全 提议 的 缺 省 配置 
BD 

缺 省 IKE 安全 提议 Default 

使 用 的 认证 方法 pre-shared key 认证 方法 

IKEv1 使 用 的 认证 算法 SHA2-256 

使 用 的 加 密 算 法 AES-256 
group2 ( 即 DH2)，2014 位 的 Diffie-Hellman 组 。 但 在 

采用 的 DH 密 钥 交换 参数 V200R008C30 及 以 后 版 本 , IKE 阶段 1 密 钥 协商 时 缺 
省 所 使 用 的 DH 组 为 group14 

IKE SA 的 生存 周期 86 400 秒 

IKEv2 采用 的 伪 随 机 数 产 生 函 数 的 算法 SHA2-256 

IKEv2 采用 的 完整 性 函数 的 算法 SHA2-256 


定义 IKE 安全 提议 的 步骤 见 表 3-3。IKE 安全 提议 的 参数 配置 与 IPSec 安全 提议 中 
的 参数 配置 可 以 一 致 ,也 可 以 不 一 致 , 因为 它们 的 用 途 不 一 样 ,IKE 安全 提议 用 于 IKE SA 
的 协商 ， 而 IPSec 安全 提议 是 用 于 IPSec SA 的 协商 。 


表 3-3 加 定义 IKE 安全 提议 的 步骤 


1 system-view pe 
例如 : <Huawei> system-view 系 纪 估算 


ike proposal proposal-number | 创建 一 个 IKE 安全 提议 ， 并 进入 IKE 安全 提议 视图 。 人 参数 
2 例如 : [Huawei] ike proposal | proposal-number 用 来 指定 IKE 安全 提议 的 序号 , 数值 越 小 ， 
10 优先 级 越 蜗 ， 整 数 形式 ， 取 值 范围 是 1 一 99 
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( 续 表 ) 


全 全 
BE ~ 


配置 IKE 安全 提议 使 用 的 认证 方法 。 命 令 中 的 选项 说 明 如 下 : 

。 pre-share: 多 选 一 选项 ， 指 定 认证 方法 为 pre-shared key 
( 预 共 享 密 钥 ) 认证 ; 

。 rsa-signature: 多 选 一 选项 , 指定 认证 方法 为 rsa-signature 
key 《RSA 数字 签名 ， 或 RSA 数字 证 书 ) 认证 ; 

。 digital-envelope: 多 选 一 选项 , 指定 认证 方法 为 数字 信封 认 
证 。 此 参数 只 在 IKE 安全 提议 视图 下 支持 , 为 中 国 国家 密码 管 
理 局 规定 的 协议 规范 。 数 字 信 封 认 证 只 在 IKEv1 主 模式 中 支 
持 ， 不 能 在 IKEv1 野蛮 模式 及 IKEv2 的 协商 过 程 中 使 用 。 

在 IKE 协商 时 ， 两 端 对 等 体 需要 采用 相同 的 认证 方法 。 使 
用 pre-shared key 的 认证 方法 时 必须 通过 pre-shared-key 
{ simple | cipher } key 命令 配置 预 共 享 密 钥 。 

缺 省 情况 下 , IKE 安全 提议 使 用 pre-shared 认证 方法 , 可 用 
undo authentication-method 命令 恢复 认证 方法 为 缺 省 值 
配置 IKE 安全 提议 使 用 的 认证 算法 。 命 令 中 的 选项 说 明 如 下 : 
e aes-xcbc-mac-96: 多 选 一 选项 ， 指 定 认 证 算法 为 AES- 
XCBC-MAC-96， 使 用 128 位 的 密 钥 。 仅 IKEv2 版 本 支持 ; 
。md5: 多 选 一 选项 ， 指 定 认证 算法 为 HMAC-MD5， 使 用 
128 位 的 密 钥 ; 

e shal: 多 选 一 选项 ， 指 定 认 证 算法 为 HMAC-SHA1， 使 
用 160 位 的 密 钥 ; 

。 sha2-256: 多 选 一 选项 ， 指 定 认 证 算法 为 SHA2-256， 使 
用 256 位 密 钥 ，VRP V200R006 及 以 后 版 本 才 支 持 ; 

e。 Sha2-384: 多 选 一 选项 ， 指 定 认 证 算法 为 SHA2-384， 使 
用 384 位 密 钥 ，VRP V200R006 及 以 后 版 本 才 支 持 ; 

。 sha2-512: 多 选 一 选项 ， 指 定 认证 算法 为 SHA2-512， 使 
用 512 位 密 钥 ，VRP V200R006 及 以 后 版 本 才 支 持 ; 

e。 sm3: 多 选 一 选项 ， 指 定 认 证 算法 为 SM3。SM3 密码 杂 
凌 算 法 是 中 国 国 家 密码 管理 局 规定 的 认证 算法 。SM3 算法 
只 在 IKEv1 中 支持 ; 

【注意 】 当 IKEv1 使 用 证 书 方式 协商 时 ， 如 果 配 置 的 认证 算 
法 为 sha2-$12, 则 RSA 密 钥 对 长 度 必 须 配 置 为 1024 位 以 上 。 
缺 省 情况 下 ，VRP 系统 V200R006 以 前 版 本 中 IKE 安全 提 
议 使 用 SHA1 认证 算法 , V200R006 及 以 后 版 本 中 IKE 安全 
提议 使 用 SHA2-256 认证 算法 ， 可 用 undo authentication- 
algorithm 命令 恢复 IKE 安全 提议 使 用 为 缺 省 值 的 认证 算法 
配置 IKE 安全 提议 使 用 的 加 密 算法 。 命 令 中 的 选项 说 明 如 下 : 
e des: 多 选 一 选项 ， 在 VRP V200R006 及 以 后 版 本 中 称 
des-cbc, 指定 IKE 安全 提议 采用 的 加 密 算 法 为 CBC 模式 的 
56 位 的 DES 算法 ; 

。 3des: 多 选 一 选项 ， 在 VRP V200R006 及 以 后 版 本 中 称 
3des-cbc， 指 定 IKE 安全 提议 采用 的 加 密 算 法 为 CBC 模式 
的 168 位 的 3DES 算法 ; 

。 aes-128: 多 选 一 选项 ， 在 VRP V200R006 及 以 后 版 本 中 
称 aes-cbc-128， 指 定 IKE 安全 提议 采用 的 加 密 算法 为 128 
位 的 高 级 加 密 标准 AES 算法 ; 





authentication-method { pre- 
share | rsa-signature | digital- 
envelope } 







例如 : [Huawei-ike-proposal- 
10] authentication-method pre- 
Share 







authentication-algorithm { aes- 
Xcbc-mac-96 | mds | shal | 
sha2-256 | sha2-384 | sha2-S12 
| sm3 } 

例如 : [Huawei-ike-proposal- 
10] authentication-algorithm 
mds 












encryption-algorithm { des | 
3des | aes-128 | aes-192 | aes- 
256 | sm4 | sml } 

例如 : [Huawei-ike-proposal- 
10] encryption-algorithm aes- 
128 
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encryption-algorithm { des | 
3des | aes-128 | aes-192 | aes- 
256 | sm4 | sml} 

例如 : [Huawei-ike-proposal- 
10] encryption-algorithm aes- 
128 


dh { groupl | group2 | group$ 
| groupl14 | group19 | group20 
| group21 } 


例如 : [Huawei-ike-proposal- 
10] dh group19 





e aes-192: 多 选 一 选项 ， 


〈 续 表 ) 





在 VRP V200R006 及 以 后 版 本 中 
称 aes-cbc-192， 指 定 IKE 安全 提议 采用 的 加 密 算法 为 192 
位 的 AES 算法 ; 

e aes--256: 多 选 一 选项 ， 在 VRP V200R006 及 以 后 版 本 中 
称 aes-cbc-256， 指 定 IKE 安全 提议 采用 的 加 密 算法 为 256 
位 的 AES 算法 ; 

e。 sm4: 多 选 一 选项 ， 表 示 使 用 中 国 国家 密码 局 规定 的 SM4 
加 密 算法 ， 密 钥 长 度 为 128 位 。 仅 在 IKEv1 和 VRP V200R006 
及 以 后 版 本 中 才 支 持 ; 

e。 sml: 多 选 一 选项 , 表示 使 用 中 国 国家 密码 局 规定 的 SM1 
加 密 算 法 ， 密 钥 长 度 为 128 位 。 仅 在 IKEv1 和 VRP 
V200R006 及 以 后 版 本 才 支 持 ， 且 如 需 使 用 该 加 密 算法 ， 设 
备 上 需要 有 国 密 加 密 卡 。 

缺 省 情况 下 ， 在 VRP 系统 V200R006 以 前 版 本 中 ，IKE 安 
全 提议 使 用 DES 加 密 算 法 ,在 V200R006 及 以 后 版 本 中 ,IKE 
安全 提议 使 用 AES-256 加 密 算 法 ， 可 用 undo encryption- 
algorithm 命令 恢复 IKE 安全 提议 使 用 为 缺 省 值 的 加 密 算法 
配置 IKE 密 钥 协商 时 采用 的 DH 密 钥 交换 参数 。 命 令 中 的 
选项 说 明 如 下 : 

。 groupl: 多 选 一 选项 ， 指 定 IKE 密 钥 协商 时 采用 768 位 
的 Diffie-Hellman 组 ; 

e group2: 多 选 一 选项 ， 指 定 IKE 密 钥 协商 时 采用 1024 位 
的 Diffie-Hellman 组 ; 

e group$: 多 选 一 选项 ， 指 定 IKE 密 钥 协 商 时 采用 1536 位 
的 Diffie-Hellman 组 ; 

。 group14: 多 选 一 选项 ， 指 定 IKE 密 钥 协商 时 采用 2048 
位 的 Diffie-Hellman 组 ; 

。 group19: 多 选 一 选项 ， 指 定 IKE 密 钥 协商 时 采用 256 位 
ECP 的 Diffie-Hellman 组 , 仅 VRP V200R006 及 以 后 版 本 才 
支持 ; 

。 group20: 多 选 一 选项 ， 指 定 IKE 密 钥 协商 时 采用 384 位 
ECP 的 Diffie-Hellman 组 , 仅 VRP V200R006 及 以 后 版 本 才 
支持 ; 

。 group21: 多 选 一 选项 ， 指 定 IKE 密 钥 协商 时 采用 521 位 
ECP 的 Diffie-Hellman 组 , 仅 VRP V200R006 及 以 后 版 本 才 
支持 ; 

在 IPSec 隧道 的 两 端 设置 的 Diffie-Hellman 组 必须 相同 ， 和 否 
则 IKE 协商 无 法 通过 。 可 以 重复 执行 本 命令 ， 但 后 面 的 配 
置 将 履 盖 前 面 所 进行 的 配置 。 

缺 省 情况 下 ， 在 VRP 系统 V200R006 以 前 版 本 中 ，IKE 密 
钥 协 商 时 采用 的 DH 密 钥 交换 参数 为 group1， 即 768 位 的 
Diffie-Hellman 组 ， 在 V200R006 及 以 后 版 本 中 ，IKE 密 钥 
协商 时 采用 的 DH 密 钥 交换 参数 为 group2， 可 用 undo dh 
命令 恢复 IKE 阶段 1 密 钥 协商 时 所 使 用 的 DH 组 为 缺 省 值 。 
【说 明 】 在 V200R008C30 及 以 后 版 本 ， 缺 省 情况 下 ，IKE 阶 
段 1 密 钥 协商 时 所 使 用 的 DH 组 为 group14 


sa duration interval 
例如 : [Huawei-ike-proposal- 
10] sa duration 600 


prf { hmac-mds | hmac-shal | 
aeS-Xcbc-128 | hmac-sha2-256 
| hmac-sha2-384 | hmac-sha2- 
S12 3 

例如 : [Huawei-ike-proposal- 
10] prf hmac-mds 


integrity-algorithm { aes-Xcbc- 
96 | hmac-md$-96 | hmac- 
shal-96 | hmac-sha2-256 | 
hmac-sha2-384 | hmac-sha2- 
S12 3 


例如 : 


[Huawel-ike-proposal- 
10] integrity-algorithm hmac- 
sha2-384 
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“说 明 i 

配置 IKE SA A 的 生存 周期 参数 interval 用 来 指定 IKE SA gm 

生存 周期 ， 整 数 形式 ， 取 值 范 围 是 60 一 604800， 单 位 是 秒 。 

当 该 生存 周期 超时 后 IKE SA 将 自动 更 新 。 

IKE SA 的 生存 周期 用 于 IKE SA 的 定时 更 新 ， 降 低 IKE SA 

被 破解 的 风险 ， 有 利于 安全 性 。 在 设 定 的 生存 周期 超时 前 ， 

IKE 将 为 对 等 体 协 商 新 的 SA。 在 新 的 SA 协商 好 之 后 ， 对 

等 体 立 即 采 用 新 的 IKE SA， 而 旧 的 SA 在 生存 周期 超时 时 

被 自动 清除 。 

缺 省 情况 下 , IKE SA 的 生存 周期 为 86 400 秒 , 可 用 undo sa 

duration 命令 恢复 IKE SA 的 生存 周期 至 缺 省 值 

(可 选 ) 配置 伪 随 机 数 产 生 函 数 的 算法 ， 仅 当 采用 IKEv2 时 

需要 配置 。 命 令 中 的 选项 说 明 如 下 : 

。 hmac-mds: 多 选 一 选项 ， 指 定 伪 随 机 数 产 生 函 数 的 算法 

为 HMAC-MD5 算法 ; 

。 hmac-shal: 多 选 一 选项 ， 指 定 伪 随机 数 产 生 函 数 的 算法 

为 HMAC-SHA-1 算法 ; 

e aes-xcbc-128: 多 选 一 选项 ， 指 定 伪 随机 数 产 生 函 数 的 算 

法 为 AES-XCBC-MAC-128 算法 ; 

e hmac-sha2-2S6: 多 选 一 选项 ， 指 定 伪 随机 数 产 生 函 数 的 

算法 为 nmac-sha2-256 算法 ， 仅 YRP V200R006 及 以 后 版 

本 才 支 持 ; 

。 hmac-sha2-384: 多 选 一 选项 ， 指 定 伪 随 机 数 产 生 函 数 的 

算法 为 hmac-sha2-384 算法 ， 仅 VRP V200R006 及 以 后 版 

本 才 文 持 ; 

e hmac-sha2-S12: 多 选 一 选项 ， 指 定 伪 随 机 数 产 生 函 数 的 

算法 为 hmac-sha2-S12 算法 ， 仅 VRP V200R006 及 以 后 版 

本 才 文 持 ; 

prf 算法 安全 级 别 由 高 到 低 的 顺序 是 hmac-sha2-512 > 

hmac-sha2-384 > hmac-sha2-256 > aes-xcbc-128 > hmac-shal> 

hmac-md5。 如 果 IKE 安全 提议 视图 下 反复 执行 本 命令 ， 最 

后 的 配置 生效 。 

缺 省 情况 下 ， 在 VRP V200R006 以 前 版 本 中 ， 采 用 hmac-shal 

算法 ,在 V200R006 及 以 后 版 本 中 ,采用 hmac-sha2-256 算 

法 ， 可 用 undo prf 命令 恢复 为 缺 省 算法 

配置 IKEv2 协 商 使 用 的 完整 性 算法 ， 仅 V200R006 及 以 后 

版 本 支持 。 命 令 中 的 选项 说 明 如 下 : 

e 3aes-Xcbc-96: 多 选 一 选项 ， 表 示 完 整 性 算法 为 AES-XCBC- 

90; 

。hmac-md5-96: 多 选 一 选项 ， 表 示 完 整 性 算法 为 HMAC- 

MD5-96; 

。hmac-shal-96: 多 选 一 选项 ， 表 示 完 整 性 算法 为 HMAC- 

SHA1-96; 

。 hmac-sha2-256: 多 选 一 选项 , 表示 完整 性 算法 为 HMAC- 

SHA2-256; 

。 hmac-sha2-384: 多 选 一 选项 , 表示 完 

SHA2-384; 





整 性 算法 为 HMAC- 
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> 
3 


integrity-algorithm { aes-xcbc- 。 hmac-sha2-512: 多 选 一 选项 ， 表示 完整 性 算法 为 HMAC- 
96 | hmac-md5-96 | hmac- SHA2-512; 

Shal-26 | hmac-sha2-2s0 | 完整 性 算法 安全 级 别 由 高 到 低 的 顺序 是 hmac-sha2-512 > 
hmac-sha2-384 | hmac-sha2- | hmac-sha2-384 > hmac-sha2-256 > aes-xcbc-96 > hmac-shal- 
512} 96 > hmac-md5-96。 

例如 : [Huawei-ike-proposal- | 缺 省 情况 下 ，IKEv2 协商 使 用 的 完整 性 算法 为 HMAC- 
10] integrity-algorithm hmac- | SHA2-256， 可 用 undo integrity-algorithm 命令 恢复 IKEv2 
和 协商 区 E 安全 提议 使 用 的 完整 性 算法 至 缺 省 值 





3.1.3 配置 |KE 对 等 体 


在 通过 IKE 协议 动态 协商 建立 IPSec 隧道 之 前 ， 两 端 IPSec 设备 之 间 就 必须 建立 好 
对 等 体 关 系 ， 而 对 等 体 关系 的 建立 必须 依赖 一 定 的 对 等 体 属性 参数 协商 ， 所 以 必须 在 两 
端的 IPSec 设备 上 配置 好 IKE 对 等 体 属性 。 

在 配置 对 等 体 属性 时 要 注意 以 下 几 个 方面 。 由 灶 了 帮 

。 IKE 对 等 体 两 端 使 用 相同 的 IKE 版 本 。 

。 IKE 对 等 体 两 端 使 用 IKEv1 版 本 时 必须 采用 相同 的 协商 模式 。 

。IKE 对 等 体 两 端的 喘 份 认证 参数 必须 匹配 。 ; 

男 外 ，IKEv1 和 IKEv2 两 种 版 本 的 对 等 体 属性 配置 方法 有 所 不 同 ， 主 要 体现 在 以 下 
用 小 方面 。 

。IKEv1 需要 配置 第 一 阶段 协商 模式 ，IKEvV2 不 需要 ， 因为 IKEv1 的 动态 协商 是 分 
两 个 阶段 进行 的 ， 而 IEv2 只 有 一 个 阶段 。 

e。 采用 数字 证 书 认证 时 ,IKEv1 不 支持 通过 IKE 协议 进行 数字 证 书 的 在 线 状态 认证 ， 
IKEv2 支持 。 

。IKEv1l 不 可 以 指定 协商 时 对 端的 ID 类 型 ，IKEv2 可 以 。 

> 在 IKEv1 版 本 中 ， 要 求 两 端 ID 类 型 一 致 ， 即 两 ; 配置 乓 local-id-type (本 端 
ID 类 型 ) 必须 一 致 ， 其 实 也 不 需要 两 端 同时 配置 ， 因 为 指定 了 一 端 ID 类 型 的 同时 也 默 
认 指 定 了 对 端 ID 类 型 。 

> 在 IKEv2 版 本 中 ， 不 要 求 本 问 ID 类 型 与 对 端 ID 类 型 一 致 ， 只 要 求 本 端 
的 local-id-type 与 对 疹 配 置 的 peer-id-type (对 端 ID 类 型 ) 一 致 。 

e JIKEv2 可 以 配置 重 认 证 时 间 间 隔 ， 提 高 安全 性 ， 藉 Evl 不 支持 。 

因为 在 VRP 系统 V200R006 以 前 版 本 和 V200R006 及 以 后 版 本 中 的 IKE 对 等 体 配置 
方法 有 较 大 区 别 ， 所 以 下 面 分 别 予 以 介绍 。 表 3-4 和 表 3-5 所 示 的 分 别 是 V200R006 以 
前 版 本 的 VRP 系统 的 IEv1、IKEv2 对 等 体 配置 方法 ， 表 3-6 所 示 的 是 V200R006 及 以 
后 版 本 的 VRP 系统 的 IKE 对 等 体 配置 方法 。 





“配置 IKE 对 等 体 之 前 ， 需 要 完成 以 下 任务 。 
e 如 果 使 用 RSA 签名 认证 (也 称 “ 数 字 证 书 认 证 ) ， 要 求 被 验证 端 已 经 导入 本 地 证 
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书 和 CA 根 证 书 ， 验 证 端 已 经 导入 CA 根 证 书 。 有 关 本 地 证 书 和 CA 根 证 书 的 导入 请 参 
见 本 书 第 8 章 。 

e 如 果 使 用 RSA 数字 信封 认证 ， 要 求 被 验证 端 已 经 生成 RSA 窗 钥 对 。 

e 当 IKEv1 使 用 证 书 方式 协商 时 ， 如 果 配 置 的 认证 算法 为 sha2-512， 则 RSA 密 负 
对 长 度 必须 配置 为 1024 以 上 。 


system-view 


表 3-4 V200R006 以 前 版 本 IKEv1 对 等 体 属性 的 配置 步骤 





例如 : <Huawei> system-view 进入 系统 视图 

创建 IKEv1 对 等 体 并 进入 IKE 对 等 体 视图 。 参 

数 peer-name 用 来 指定 IKE 对 等 体 的 名 称 ， 了 字符 

串 格式 ， 长 度 范围 是 1 一 15。 区 分 大 小 写 ， 字 符 

串 中 不 能 包含 “? ”和 空格 。 

【 注意】 创建 新 的 IKE 对 等 体 时 必须 指定 版 本 号 ， 

例如 : [Huawei] ike peer huawei v1 人 
版 本 号 。 并 且 对 等 体 的 名 称 在 两 端 可 以 相同 ,也 

可 以 不 同 。 

缺 省 情况 下 ， 系 统 没有 配置 IKE 对 等 体 ， 可 用 

undo ike peer peer-name 删除 已 创建 的 指定 IKE 


ike peer peer-name v1 


对 等 体 
ike-proposal proposal-number 引用 3.1.2 节 定 义 的 IKE 安全 提议 。 参 数 proposal- 
3 | 例如 : [Huawei-ike-peer-huawei] ike- number 是 一 个 已 创建 的 IKE 安全 提议 序号 。 缺 
proposal 10 省 情况 下 ， 使 用 系统 默认 的 IKE 安全 提议 


配置 采用 预 共 享 密 钥 认 证 时 ，IKE 对 等 体 与 对 
端 共 享 的 预 共享 密 钥 。 命 令 中 的 选项 和 参数 说 
明 如 下 : 
e simple: 明文 口令 类 型 。 可 以 键入 明文 口令 ， 
查看 配置 文件 时 以 明文 方式 显示 口令 ; 
。 cipher: 密 文 口令 类 型 。 可 以 键入 明文 或 密 文 
口令 ， 但 在 查看 配置 文件 时 均 以 密 文 方式 显示 
| 
pre-shared-key { simple | Ee 。 key: 指定 预 共享 密 钥 认 证 方法 的 预 共享 密 铀 ， 
cipher } key het ey 字符 串 格 式 , 明文 时 输入 长 度 范围 是 1~~127, 密 
4 | 例如 : [Huawei-ike-peer- | ( 预 共 享 密 文 时 输入 长 度 范 围 是 32 一 200。 区 分 大 小 写 ， 字 
huawei] pre-shared-key | 钥 ) 时 , 配置 符 串 中 不 能 包含 “? ”和 空格 。 建 议 预 共 享 密 钥 
cipher abcde 预 共 享 密 钥 至 少 包 含 小 写字 母 、 大 写字 母 、 数 字 、 特 殊 字 符 
这 四 种 形式 中 的 两 种 ， 同 时 预 共享 密 钥 长 度 不 小 
6 Ts 
每 一 条 IPSec 隧道 的 两 端 设备 配置 的 预 共 享 密 钥 
必须 一 致 ， 不 同 隧道 两 端 IPSec 设备 配置 的 预 共 
享 密 钥 可 不 一 致 。 
缺 省 情况 下 ，IKE 对 等 体 中 没有 配置 预 共享 密 钥 ， 
可 用 undo pre-shared-key 命令 用 来 删除 所 配置 
预 共 享 密 钥 认 证 方法 的 预 共享 密 铀 
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pki realm realm-name 
例如 : [Huawei-ike-peer- 
huaweli]l pki realm test 


VA mm 


digital-envelope local- 
private-key 

pki realm realm-name 
例如 : [Huawei-ike-peer- 
huawel] digital-envelope 
local-private-key pki 
realm rtl 1 


digital-envelope remote- 
public-key certificate peer 
name 

例如 : [Huawei-ike-peer- 
huawel] digital-envelope 
remote-public-key 
certificate peer 2rtl 


So f 入 


IKE 动态 协商 方式 建立 IPSec VPN 的 配置 与 管理 


( 己 选 一 ) 认 
证 方法 为 rsa- 
signature key 
《数字 证 书 ) 
时 , 获取 数字 
证 书 


(三 选 一 ) 认 
证 方法 为 
digital-envelo 
pe 〈 数 字 信 
封 ) 时 ,获取 
数字 信封 


exchange-mode { main | aggressive } 


例如 : [Huawei-ike-peer-huawei] 
exchange-mode aggressive 
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( 续 表 ) 


配置 采用 数字 证 书 认 证 时 ，IKE 对 等 体 的 数字 证 


书 所 属 的 PKI 域 。 参 数 realm-name 用 来 指定 一 
个 已 通过 pki realm realm-name 命令 创建 的 PKI 
域 的 PKI 域名 (字符 串 类 型 , 取 值 范围 是 1 一 1$， 
区 分 大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 空格 )， 
使 IKE 根据 PKI 域 下 的 配置 信息 获取 本 端的 CA 
证 书 和 设备 证 书 ， 有 关 PKI 域 的 具体 配置 方法 
参见 本 书 第 8 章 。 

缺 省 情况 下 ，IKE 对 等 体 的 数字 证 书 没 有 指定 
PKI 域 ， 可 用 undo pki realm 命令 来 取消 指定 
IKE 对 等 体 的 数字 证 书 所 属 的 PKI 域 


配置 本 并 数字 证 书 所 属 的 PKI 域 。 参 数 realm- 


name 是 一 个 已 经 通过 pki realm realm-name 命 令 


创建 的 PKI 域 。 在 对 端 设备 上 通过 digital-envelope 
remote-public-key certificate peer name 命令 所 配 
置 的 对 问 数 字 证 书 必须 位 于 本 步 所 配置 的 PKI 
域内 。 

缺 省 情况 下 ,系统 没有 配置 本 端 数 字 证 书 所 属 的 
PKI 域 ,可 用 undo digital-envelope local-private- 
key 命令 来 取消 配置 本 端 数 字 证 书 所 属 的 PKI 域 


配置 对 端 数字 证 书 名 称 。 参 数 name 用 于 指定 对 
病 数 字 证 书 名 称 , 是 一 个 已 经 导入 的 对 端 数字 证 
书 ， 表 示 要 从 对 端 数 字 证 书 中 获取 公 钥 ,字符 串 
格式 ， 不 能 包含 “? ”和 空格 ， 长 度 范围 是 1 一 
15， 区 分 大 小 写 。 该 证 书 必 须 位 于 在 对 端 设 备 上 
通过 digital-envelope local-private-key 

pki realm realm-name 命令 所 配置 的 PKI 域内 。 
只 有 IKEv1 主 模式 支持 数字 信封 认证 。 
缺 省 情况 下 ， 系 统 没 有 配置 对 端 数 字 证 书 名 称 ， 
可 用 undo digital-envelope remote-public-key 命 


令 取消 配置 对 端 数字 证 书 名 称 


配置 IKEv1 阶段 1 协商 模式 。 命 令 中 的 选项 说 明 
如 下 : 

。 main: 二 选 一 选项 ， 指 定 IKEv1 阶段 1 协商 
模式 为 主 模式 。 这 种 模式 可 提供 身份 保护 。 对 等 
体 标 识 时 只 能 是 IP 地 址 类 型 ， 

。 aggressive: 二 选 一 选项 ， 指 定 IKEv1 阶段 1 
协商 模式 为 野蛮 模式 。 这 种 模式 协商 速度 更 快 ， 
但 不 提供 身份 保护 。 对 等 体 标识 时 可 以 是 IP 地 
址 类 型 ， 也 可 以 是 名 称 类 型 。 

可 以 重复 执行 本 命令 , 但 后 面 的 配置 将 覆盖 前 面 
所 进行 的 配置 。 缺 省 情况 下 ， 下 Evl 阶段 1 协商 
模式 为 主 模式 
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local-address address 


例如 : [Huawei-ike-peer-huawei] local- 
address 100.10.10.1 


remote-address { ip-address | host-name } 


例如 : [Huawei-ike-peer-huawei] remote- 
address mypeer 





(和 续 表 ) 
说 明 ~ 


(可 选 ) 配置 IKE 协商 时 的 本 端 卫 地 址 。 一 般 情 
况 下 本 端 卫 地 址 不 需要 配置 ，IKE 协议 会 直接 
把 发 送 报 文 的 出 接口 的 IP 地 址 作为 本 端 IP 地 
址 。 但 下 列 情况 除外 : 

。 当 安 全 策略 实际 绑 定 的 接口 IP 地 址 不 固定 或 
无 法 预知 时 , 可 以 执行 本 命令 指定 设备 上 的 其 他 
接口 (如 LoopBack 接口 ) IP 地 址 作为 IPSec 隧 
道 的 本 端 IP 地 址 。 

。 当 安 全 策略 实际 绑 定 的 接口 配置 了 多 个 IP 地 
址 (一 个 主 IP 地 址 和 多 个 从 IP 地 址 ) 时 ， 可 以 
执行 本 命令 指定 其 中 一 个 全 地 址 作为 IPSec 隧道 
的 本 端 卫 地 址 。 

。 当 本 端 与 对 端 存在 等 价 路 由 时 ( 即 有 多 条 路 由 
开销 相同 的 路 径 可 达 对 端 时 ) ， 可 以 执行 本 命令 
来 指定 IPSec 隧道 的 本 端 IP 地 址 , 使 IPSec 报 文 
从 指定 接口 出 去 。 

本 端 配置 的 IP 地 址 必须 与 对 端 配置 的 对 端 卫 地 
址 一 致 。 

缺 省 情况 下 ， 根 据 路 由 选择 到 对 端的 出 接口 ， 将 
该 出 接口 地 址 作为 本 端 卫 地址 ， 可 用 undo local- 
address 命令 恢复 IKE 协商 时 的 本 端 卫 地 址 至 缺 
省 配置 


(可 选 ) 配 置 IKE 协商 时 的 对 端 IP 地 址 或 域名 ( 通 
党 是 主机 名 〉 。 命 令 中 的 参数 说 明 如 下 : 

e ip-address: 二 选 一 参数 ,指定 对 端的 IP 地 址 ; 
e host-name: 二 选 一 人 参数， 指定 对 端的 域名 。 
耕 本 端 作为 发 起 方 ， 则 需要 配置 对 端 地 址 或 域 
名 ， 用 于 发 起 方 在 协商 过 程 中 寻找 对 端 。 通 季 
情况 下 ， 由 于 双方 都 可 能 是 发 起 方 ， 所 以 都 需 
要 配置 对 端的 IP 地 址 。 只 有 当 本 端 固 定 作为 
IKE 协商 响应 方 时 ， 如 策略 模板 方式 下 才 无 需 
配置 本 命令 。 

如 果 配 置 的 对 端 地 址 是 域名 , 则 可 以 通过 以 下 两 
种 方式 获取 对 端的 IP 地 址 : 

e 静态 方式 : 用 户 手工 配置 主机 名 和 IP 地 址 的 
对 应 关系 ; 

。 动态 方式 : 通过 DNS 域名 服务 器 解析 获取 对 
端的 IP 地 址 。 

本 端的 对 端 地 址 需要 与 对 端 配置 的 本 端 地 址 一 致 。 
缺 省 情况 下 , 系统 没有 配置 IKE 协商 时 对 端的 IP 
地 址 或 域名 ， 可 用 undo remote-address 命令 取 
消 配 置 对 六 IKE 对 等 体 的 IP 地 址 或 域名 
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local-id-type { ip | name | dn } 


8 例如 : [Huawei-ike-peer-huawei] local-id- 
type name 


表 3-5 VRPV 
0 









IKE 动态 协商 方式 建立 |PSec VPN 的 配置 与 管理 
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( 续 表 ) 
\ ，， 
配置 IKE 协商 时 本 端 ID 类 型 和 本 端 ID。 命令 中 


的 选项 说 明 如 下 : 

。ip: 多 选 一 选项 ， 指 IKE 协商 时 本 端 ID 类 型 
为 IP 地 址 形式 。 此 时 ， 根 据 已 配置 的 本 端正 地 
址 和 对 端 卫 地 址 用 于 对 等 体 进行 IKE 协商 。 

e。 name: 多 选 一 选项 , 指 IKE 协商 时 本 端 ID 类 
型 为 名 称 形式 。 

【说 明 】 当 采用 ID 类 型 为 name 时 ， 需 要 配置 本 
端 名 称 和 对 端 名 称 用 于 对 等 体 进行 KE 协商 。 配 
置 方法 是 在 系统 视图 下 通过 ike local-name 
local-name,; 设置 IKE 协商 时 的 本 端 名 称 命令 配置 
缺 省 情况 下 ,没有 定义 下 E 协商 时 的 本 端 名 称 , 使 
用 系统 视图 下 Sysname 命令 配置 的 设备 名 称 . 可 在 
IKE 对 等 体 视 图 下 执行 remote-name name 命令 配 
置 KE 协商 时 的 对 端 名 称 ( 若 本 端 作 为 发 起 方 ， 则 
需要 配置 对 端 名 称 ， 由 于 双方 都 可 能 是 发 起 方 ， 所 
以 都 需要 配置 ， 只 有 当 作 为 IKE 协商 响应 方 时 ， 
如 策略 模板 方式 下 本 命令 才 为 可 选 配置 ) 。 

。dn: 多 选 一 选项 ， 指 IKE 协商 时 本 端 ID 类 型 
为 DN (Distinguished Name， 可 识别 名 称 ) 形式 ， 
将 根据 本 端 DN 和 对 端 DN 用 于 对 等 体 进行 IKE 
协商 。 此 时 ， 需 要 选择 数字 证 书 认 证 方法 ， 即 引 
用 的 IKE 安全 提议 中 authentication-method 命 
邻 必须 选 择 rsa-signature 选项 。 

缺 省 情况 下 , IKE 协商 时 本 端 ID 类 型 为 了 P 地 址 形式 


00R006 以 前 版 本 IKEv2 对 等 体 属性 的 配置 步 又 


system-view | 
入 系统 视 
例如 : <Huawei> system-view 进入 系统 视图 


ike peer peer-name v2 
例如 : [Huawei] ike peer huawei v2 


ike-proposal proposal-number 
3 | 例如 : [Huawei-ike-peer-peerl] ike- 
proposal 10 
一 浊 下 认 
证 方 沟 为 
pre-shared 
key〈 预 共享 
密 钥 ) 时 ， 
配置 预 共享 
密 钥 


pre-shared-key { simple | 
cipher } key 

外 例如 : [Huawei-ike-peer- 
peerl|] pre-shared-key 
cipher abcde 





创建 [KEv2 对 等 体 并 进入 IKE 对 等 体 视图 。 参 数 
peer-name 用 来 指定 IKE 对 等 体 的 名 称 ， 字 符 串 
格式 ， 长 度 范 围 是 1 一 1$。 区 分 大 小 写 ， 字 符 串 
中 不 能 包含 “? ”和 空格 。 

缺 省 情况 下 , 系统 没有 配置 IKE 对 等 体 , 可 用 undo 
ike peer peer-name 删除 已 创建 的 指定 下 E 对 等 体 
引用 3.1.2 节 定 义 的 IKE 安全 提议 。 参 数 proposal- 
number 是 一 个 已 创建 的 IKE 安全 提议 。 缺 省 情 
况 下 ， 使 用 系统 默认 的 IKE 安全 提议 


配置 采用 预 共 享 密 钥 认证 时 ，IKE 对 等 体 与 对 端 
共 至 的 预 共享 密 钥 。 其 他 说 明 参 见 表 3-4 第 4 步 
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pki realm realm-name 配置 采用 数字 证 书 认 证 时 ,IKE 对 等 体 的 数字 证 
例如 : [Huawei-ike-peer- 书 所 属 的 PKI 域 ， 其 他 说 明 参 见 表 3-4 中 的 第 


peer1] pki realm test 4 步 
二 选 一 ) 认 |《〈 可 选 ) 配置 采用 数字 证 书 认 证 时 , 指定 通过 IKE 
证 方法 为 | 协议 承载 OCSP 请 求 / 啊 应 进行 在 线 证 书 状态 认 
rsa-signature | 证 。 只 有 当 创建 的 PKI 域 中 配置 的 certificate- 
inband ocsp key (数字 签 | check { crl | none | ocsp } 命 令 选择 了 ocsp 选项 
例如 : [Huawei-ike-peer- | 名 ) 时 ， 获 | (以 在 线 证 书 状态 协议 方式 检查 证 书 状态 ) 时， 
peerl] inband ocsp 取 数 字 证 书 | 执行 该 命令 才 有 效 。 
缺 省 情况 下 ， 设 备 采 用 CRL 检查 方式 〈 即 以 证 书 废 
除 列表 方式 检查 证 书 状态 )， 可 用 undo certificate- 
check 命令 恢复 检查 证 书 状态 的 方式 至 缺 省 情况 





local-address address (可 选 ) 配置 IKE 协商 时 的 本 端 卫 地 址 。 一般 情 
例如 : [Huawei-ike-peer-peer1] local- 况 下 本 端 IP 地 址 不 需要 配置 ， 其 他 说 明 参 见 表 
address 10.10.10.1 3-4 第 6 步 





remote-address { ip-address | host-name } 





(可 选 ) 配 置 IKE 协商 时 的 对 端 IP 地 址 或 域名 ( 通 
常 是 主机 名 ) 。 其 他 说 明 参 见 表 3-4 第 7 步 


配置 IKE 协商 时 本 端 ID 类 型 和 本 端 ID。 其 他 说 
明 注意 事项 参见 表 3-4 第 8 步 。 

缺 省 情况 下 ，IKE 协商 时 本 端 ID 类 型 为 IP 地 址 
形式 。 

【注意 】IKEv2 版 本 中 ， 本 端 配置 的 本 地 ID 类 型 
要 匹配 对 端 配置 的 对 端 ID 类 型 ， 但 不 像 IKEvl 
版 本 中 那样 ， 要 求 两 端 配置 的 local-id-type 参数 
需要 匹配 

配置 IKE 协商 时 对 端的 ID 类 型 。 命 令 中 的 选项 
详情 可 参见 表 3-4 第 8 步 的 对 应 说 明 。 

在 IKEv2 版 本 中 ， 两 端的 ID 类 型 可 以 不 一 样 ， 
所 以 本 端 和 对 端 ID 类 型 必须 同时 配置 。 但 是 选 
择 这 三 种 不 同 ID 类 型 时 要 注意 以 下 事项 : 

。 当 配 置 ip 类 型 时 ， 将 根据 已 配置 的 对 端 卫 地 
址 用 于 对 等 体 进行 IKE 协商 。 

e 当 配 置 name 类 型 时 ， 需 要 通过 remote-name 
name 命令 配置 对 端 名 称 用 于 对 等 体 进行 IKE 协商。 
则 沼 本 渍 ol 则 需要 配置 remote-name 
name 命令 ， 由 于 双方 都 可 能 是 发 起 方 ， 所 以 都 需 
要 配置 ， 只 有 仅 作 为 KE 协商 响应 方 时 ， 如 策略 模 
板 方式 下 remote-name name 命令 才 为 可 选 配置 。 

。 当 配 置 dn 类 型 时 ， 将 根据 对 端 DN 用 于 对 等 
体 进行 IKE 协商 。 此 时 需要 选择 数字 证 书 认证 方 
法 ， 即 在 引用 的 IKE 安全 提议 中 authentication- 
I { pre-share | rsa-signature | digital-envelope } 
命令 必须 选择 rsa-signature 参数 。 

缺 省 情况 下 ， 系 统 未 设置 IKE 协商 时 对 端的 ID 
类 型 ， 可 用 undo peer-id-type 命令 取消 配置 IKE 
协商 时 对 端的 ID 类 型 


例如 : [Huawei-ike-peer-peerl1] remote- 
address mypeer 











local-id-type { ip | name | dn } 
例如 : [Huawei-ike-peer-peerl1] local-id- 
type name 








peer-id-type { dn |ip |name } 





例如 : [Huawei-ike-peer-peerl] peer-id- 
type dn 
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。 ( 续 表 ) 


(可 选 ) 配置 KKEv2 重 认 证 的 时 间 间 隔 。 参 数 
interval 用 于 指定 IKEV2 重 认 证 时 间 间 隔 ， 整 数 
形式 ， 单 位 是 秒 ， 取 值 范围 是 300 一 86 400。 

缺 省 情况 下 , IKEv2 不 进行 重 认 证 ， 可 用 undo re- 
authentication interval 命令 取消 IKEv2 重 认 证 。 


在 远程 接 入 应 用 时 ， 对 等 体 间 实 施 周 期 性 的 重 认 
证 , 可 以 降低 第 三 方 攻击 的 安全 隐患 , 提升 IPSec 
网 络 的 安全 性 

介绍 完了 V200R006 以 前 版 本 的 IKE 对 等 体 配 置 方法 后 ， 接 下 来 就 要 介绍 在 VRP 
V200R006 及 以 后 版 本 中 的 IKE 对 等 体 配 置 方法 了 。 

在 VRP V200R006 及 以 后 版 本 中 ，IKE 对 等 体 的 配置 方法 改变 了 很 多 ， 特 别 是 在 认 
证 方法 、ID 类 型 等 方面 的 配置 上 分 得 更 详细 。 如 在 采用 预 共 享 密 钥 认证 方法 时 ， 
V200R006 以 前 版 本 中 ， 公 司 总 部 为 了 实现 与 多 个 分 文 机 构 的 VPN 连接 ， 通常 采 用 为 不 
同 IPSec 隧道 所 连接 的 对 等 体 引 用 相同 名 称 ， 但 用 不 同 序号 的 安全 策略 组 来 实现 ， 而 且 
在 安全 策略 组 中 所 配置 的 预 共 享 密 钥 可 以 一 样 ， 也 可 以 不 一 样 。 但 如 果 采 用 策略 模板 配 
置 方式 时 ， 因 为 一 个 策略 模板 只 能 引用 一 个 IKE 对 等 体 (具体 将 在 3.1.4 节 介 绍 )， 而 一 
个 对 等 体 只 能 配置 一 个 共享 密 钥 ， 所 以 在 企业 总 部 所 连接 的 各 条 IPSec 隧道 配置 相同 的 
预 共 享 密 钥 。 这 样 就 可 能 造成 一 旦 某 一 端的 IKE 对 等 体 泄露 了 预 共 享 密 钥 ， 就 会 给 其 他 
端的 IPSec 通信 带 来 安全 隐患 。 在 VRP V200R006 及 以 后 版 本 中 ， 所 采用 的 解决 方案 与 
前 面 介绍 的 V200R006 以 前 版 本 的 方案 不 同 ， 它 是 采用 IKE 用 户 表 ， 就 是 为 不 同 分 支 机 
构 配 置 不 同 的 IKE 用 户 ， 这样 不 同 分 支 机 构 就 可 以 采用 不 同 预 共 享 密 钥 与 同一 个 公司 总 
部 网 天 建立 多 条 IPSec 隧道 了 。 

VRP V200R006 及 以 后 版 本 下 的 IKE 对 等 体 的 具体 配置 步骤 见 表 3-6。 

表 3-6 V200R006 及 以 后 版 本 IKE 对 等 体 属性 的 配置 步骤 





re-authentication interval interval 
例如 : [Huawei-ike-peer-peerl] re- 
authentication interval 400 








system-view 


1 进入 系统 视图 











例如 : <Huawei> system-view 
3 ike peer peer-name 创建 IKE 对 等 体 并 进入 IKE 对 等 体 视图 。 其 他 说 明 参 见 
例如 : [Huawei] ike peer Huawei | 表 3-4 第 2 步 
version {1|2} 配置 IKE 对 等 体 使 用 的 IKE 协议 版 本 号 
3 例如 : [Huawei-ike-peer- 缺 省 情况 下 ,一 个 IE 对 等 体 同 时 支持 下 Ev1 和 下 Ev2 两 
huawei] version 2 个 协议 版 本 ， 可 用 undo version { 工 | 2 } 命令 取消 对 应 配置 
ike-proposal proposal-number 引用 3.1.2 节 定 义 的 IKE 安全 提议 。 参 数 proposal-number 
4 例如 : [Huawei-ike-peer-huawei] 是 一 个 已 创建 的 IKE 安全 提议 序号 。 缺 省 情况 下 ， 使 用 
小 | ike-proposal 10 系统 默认 的 IKE 安全 提议 Default 
| change-mode { main |aggressive } | ( 吉 先 ) 配置 IKEv1 阶段 1 协商 模式 ， 仅 选择 IKEv1 版 
和 | 例如 : [Huawei-ike-peer-huawei] 


本 时 支持 。 其 他 说 明 参 见 表 3-4 第 5 步 


exchange-mode aggressive 
local-address address 


、 , 商 时 区 ju 。 其 参见 
6 | 例如 : [Huawei-ike-peer-huawei] i 问 IP 地 址 。 其 他 说 明 参 见 


local-address 100.10.10.1 
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remote-address { [ vpn-instance 
vpn-instance-name | { ip-address | 
host-name host-name } | 
authentication-address start-ip- 
address [ end-ip-address | } 


例如 : [Huawei-ike-peer-huawei] 
remote-address mypeer 


ipsec sm4 version { draft- 
standard | standard } 

例如 : [Huawei-ike-peer-huawei] 
ipsec sm4 version standard 





(可 选 ) 配置 IKE 协商 时 的 对 端 他 地 址 或 域名 。 命 令 中 
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( 续 表 ) 
说 明 


的 参数 说 明 如 下 : 

e vpn-instance vpn-instance-name: 可 选 参数 ， 参 数 用 来 
指定 对 端 所 属 的 VPN 实例 的 名 称 ; 

e authentication-address start-ip-address [ end-ip-address |: 
二 选 一 参数 ， 指 定 对 端 IP 地 址 段 的 起 始 地 址 和 终止 IP 
地 址 。 仅 V200R006 及 以 后 版 本 支持 。 

其 他 参数 说 明 参 见 表 3-4 中 的 第 7 步 。 若 本 端 作为 发 起 
方 ， 则 需要 配置 本 命令 ， 用 于 发 起 方 在 协商 过 程 中 寻找 
对 端 。 由 于 双方 都 可 能 是 发 起 方 ， 所 以 都 需要 配置 。 只 
有 当 作 为 IKE 协商 响应 方 时 ， 如 策略 模板 方式 下 ， 无 需 
配置 本 命令 。 

【说 明 】 当 对 端 启 用 IPSec 设备 的 接口 配置 了 VPN 实例 
时 需要 指定 ypn-instance-name; 当 对 端 设备 的 IP 地 址 不 
固定 但 有 固定 域名 时 ， 需 要 指定 host-name 配置 对 端 域 
名 。 此 时 要 求 对 端 配 置 DDNS, 将 域名 与 动态 IP 地 址 绑 
定 ， 本 端 配 置 DNS 完成 域名 解析 ; 当 对 端 设备 使 用 的 
是 内 网 IP 地 址 ， 穿 越 了 NAT 设备 时 ， 如 果 需 要 使 用 IP 
地 址 进行 认证 , 可 以 通过 配置 authentication-address 参 
数 指定 NAT 转换 前 的 了 了 地 址 为 对 端的 认证 地 址 ， 但 此 
时 需要 将 NAT 转换 后 的 卫 地 址 作为 对 端 地 址 。 
缺 省 情况 下 ， 系 统 没有 配置 IKE 对 等 体 的 对 端 地 址 或 域 
名 , 可 用 undo remote-address [ ip-address | host-name host- 
name | authentication-address ] 命 令 取 消 原来 的 配置 
(可 选 ) 配置 IKE 协商 时 使 用 SM4 算法 的 版 本 。 命 令 中 
的 选项 说 明 如 下 : 

。 draft-standard: 二 选 一 选项 ， 指 定 SM4 算法 的 版 本 
为 2013 年 国 密 标准 版 本 。SM4 算法 的 属性 值 为 127; 

。 standard: 二 选 一 选项 , 指定 SM4 算法 的 版 本 为 2014 
年 国 密 标准 版 本 。SM4 算法 的 属性 值 为 129。 

与 其 他 厂商 设备 对 接 进行 IKE 协商 时 ， 由 于 不 同 厂家 设 
备 使 用 的 SM4 算法 的 版 本 有 差异 , 会 导致 与 其 他 厂商 设 
备 IKE 协商 不 成 功 ， 此 时 可 以 配置 此 步骤 ， 使 得 SM4 算 
法 的 版 本 与 其 他 厂 家 设备 使 用 的 SM4 算法 的 版 本 一 致 。 
缺 省 情况 下 ， 配 置 IKE 协商 时 使 用 SM4 算法 的 版 本 为 
draft-standard， 可 用 undo ipsec sm4 version 命令 恢复 
IKE 协商 时 使 用 SM4 算法 为 缺 省 值 的 版 本 


配置 身份 认证 参数 和 ID 类 型 和 ID 值 ， 预 共享 密 钥 认证 、RSA 签名 认证 〈 即 数字 证 书 认 证 )、 
RSA 数字 信封 认证 各 自 对 应 的 具体 配置 步骤 分 别 在 后 面 的 表 3-7、 表 3-8 和 表 3-9 介绍 


lifetime-notification-message 
enable 


例如 : [Huawei-ike-peer-huawei] 
lifetime-notification-message 
enable 





(可 选 ) 使 能 发 送 IKE SA 生存 周期 的 通知 消息 功能 。 
IKEv1 对 等 体 中 ， 协 商 双 方 进行 生存 周期 协商 ，IKE SA 
的 生存 周期 取 两 端的 小 值 。 但 当 华 为 设备 与 其 他 厂商 设 
备 对 接 建 立 IPSec 隧道 时 ， 如 果 两 端 IKE SA 生存 周期 
配置 不 相同 ， 则 需要 配置 该 命令 ， 将 本 端 IKE SA 生存 
周期 的 通知 消息 发 送 给 对 端 ， 两 端 IKE 协商 才能 成 功 ， 
否则 失败 。 





情形 


情 


10 





3 


4 





pp 
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2 ) 

| WH 

其 他 情况 下 ， 如 两 台 华为 设备 之 间 建 立 IPSec 隧道 时 也 

lifetime-notification-message 可 以 配置 该 命令 ,但 其 只 对 IPSec 隧道 的 协商 啊 应 方 生 

enable 效 。 如 果 不 能 确定 哪 端 是 协商 发 起 方 ， 建 议 两 端 都 配置 
例如 : [Huawei-ike-peer-huaweil 该 命令 。 

lifetime-notification-message 缺 省 情况 下 ， 系统 未 使 和 EE 发送 IKE SA 生存 周期 的 通知 

enable 消息 功能 ， 可 用 undo aa 


enable 命令 关闭 发 送 IKE SA 生存 周期 的 通知 消息 功能 
(可 选 ) 配置 IKEv2 重 认 证 的 时 间 间 隔 ， 整 数 形式 ， 单 
位 是 秒 ， 取 值 范围 是 300~86 400。 仅 当 采 用 IKEv2 版 
本 时 才 需 配置 。 

| 在 远程 接 入 时 ，IKEv2 对 等 体 间 实施 周期 性 的 重 认证 ， 
例如 : [Huawei-ike-peer-huawei] 可 以 降低 第 三 方 攻击 的 安全 隐患 ， 提 升 IPSec 网 络 的 安 
re-authentication interval 400 全 性 。 

缺 省 情况 下 ，IKEv2 不 进行 重 认 证 ， 可 用 undo re- 
authentication interval 命令 取消 IKEv2 重 认 证 


re-authentication interval interval 


”说明 


综 初 
例如 : <Huawei> system-view 进入 系统 视图 


ike peer peer-name 创建 IKE 对 等 体 并 进入 IKE 对 等 体 视图 。 其 他 说 明 参 见 
例如 : [Huawei] ike peer Huawei | 表 3-4 第 2 步 

TR | 配置 IKE 对 等 体 使 用 的 IKE 协议 版 本 号 。 其 他 说 明 参 见 
例如 : [Huawei-ike-peer-huawei] 表 3-5 的 第 3 步 

Version 2 


: 单个 对 端 或 多 个 对 端 使 用 相同 ID 和 预 共 享 密 钥 时 的 认证 参数 配置 


IT oe 配置 对 等 体 IKE 协商 采用 预 共享 密 钥 认 证 时 ， 所 使 用 的 


. 预 共 至 密 钥 ， 其 他 说 明 参 见 表 3-4 第 4 步 。 两 个 对 端的 
例如 : [Huawei-ike-peer-huawei] 4 VE 
pre-shared-key simple lycb.com 


形 二 : 多 个 对 端 ， 且 多 个 对 端 使 用 不 同 的 ID 和 预 共 享 密 钥 时 的 认证 参数 配置 


quit 

例如 : [Huawei-ike-peer-huawei] 返回 系统 视图 

quit 

创建 一 个 IKE 用 户 表 并 进入 IKE 用 户 表 视图 , 或 者 直接 
进入 一 个 已 创建 的 IKE 用 户 表 视图 。 参 数 user-table-id 
用 来 指定 下 E 用 户 表 ID， 整 数 形式 ， 不 同系 列 的 取 值 范 
围 不 同 。 一 个 IKE 用 户 表 下 可 以 通过 下 一 步 创 建 一 个 或 多 
个 IKE 用 户 。 

例如 : [Huawei] ike user-table IKE 用 广 表 中 记录 了 IKE 对 等 体 对 喘 TD; 和 这 些 参数 的 
0 对 应 关系 。 KE 对 等 体 中 引用 IKE 用 户 表 后 ， 设备 在 IKE 
协商 过 程 中 ， 会 根据 对 端 思 ， 在 IKE 用 户 表 中 查找 该 ID 
对 应 的 参数 。 这 样 就 可 以 做 到 各 个 分 文 使 用 不 同 的 业务 。 
缺 省 情况 下 ， 系 统 没 有 配置 IKE 用 户 表 ， 可 用 undo ike 
user-table 命令 用 来 删除 IKE 用 户 表 ， 但 已 经 被 IKE 对 
等 体 引 用 的 IKE 用 户 表 无 法 删除 


ike user-table user-table-id 
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USer USer-name 


例如 : [Huawei-ike-user-table- 


10] user winda 


pre-shared-key key 


例如 : [Huawei-ike-user-table- 
10-userl] pre-shared-key lycb. 


com 


id-type { any any-id | fqdn 
remote-fgdn | ip ip-address | 
user-fqdn remote-user-fqgan } 
例如 : [Huawei-ike-user-table- 
l10-userl| id-type ip 1.1.1.1 


description description 


例如 : [Huawei-ike-user-table- 


10-userl | description admin 


quit 


例如 : [Huawei-ike-user-table- 


10-userl] quit 
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在 IKE 用 户 表 中 创建 一 个 IKE 用 户 并 进入 IKE 用 户 视 图 ， 


或 者 直接 进入 一 个 已 创建 的 IKE 用 户 视图 。 参 数 user-name 
指定 IKE 用 户 的 名 称 字 符 串 形式 ， 区 分 大 小 写 ， 不 支持 空 
格 和 问号 ， 长 度 范围 为 1 一 63。 

在 每 个 IKE 用 户 视图 下 面 都 可 以 分 别 配 置 对 等 体 ID、 共 享 
密 钥 , IPSec 设备 就 是 依据 IKE 用 户 与 这 些 参 数 的 对 应 关系 
找到 与 之 要 建立 IPSec 隧道 的 对 等 体 。 

缺 省 情况 下 ，IKE 用 户 表 中 没有 创建 IKE 用 户 ， 可 用 undo 
user user-name 命令 删除 指定 的 IKE 用 户 


为 以 上 IKE 用 户 配置 对 等 体 IKE 协商 采用 预 共享 密 钥 认 证 
时 ，IKE 用 户 所 使 用 的 预 共 享 密 钥 , 字符 串 格 式 ， 明 文 时 输 
入 范围 是 1 一 128， 密 文 时 输入 范围 是 48~~188。 当 字符 品 
中 包含 “? ”或 空格 时 ， 需 要 使 用 双 引 号 将 密 钥 括 起 来 。 
相当 于 可 以 为 每 个 用 户 配 置 相同 或 不 同 的 共享 密 钥 ， 通 常 
是 在 公司 总 部 IPSec 设备 上 为 每 个 分 文 机 构 创 建 一 个 用 户 ， 
然后 分 别 为 他 们 配置 共享 密 钥 。 当 然 ， 这 要 求 在 分 支 机 构 
上 所 配置 的 共享 密 钥 必须 与 总 部 上 对 应 。 

缺 省 情况 下 ， 对 等 体 IKE 协商 采用 预 共享 密 钥 认 证 时 ， 没 
有 配置 IKE 用 户 所 使 用 的 预 共 享 密 铀 ， 可 用 undo pre- 
shared-key 命令 取消 对 等 体 IKE 协商 采用 预 共 享 密 钥 认 证 
时 ，IKE 用 户 所 使 用 的 预 共 享 密 铀 


为 以 上 IKE 用 户 中 配置 对 端 ID 类 型 和 ID 。 命 令 中 的 参数 
说 明 如 下 : 

。 any any-id: 多 选 一 参数 ， 指 定 IKE 对 等 体 的 对 端 了 品类 
型 为 任意 类 型 ， 并 配置 对 端 ID， 字 符 串 形式 ， 区 分 大 小 写 ， 
不 支持 问号 ， 长 度 范围 是 1 一 255。 

e fqdn remote-fydn: 多 选 一 参数 ， 指 定 IKE 对 等 体 的 对 应 
ID 类 型 为 名 称 形式 ， 并 配置 对 端 ID， 字 符 串 形式 ， 区 分 大 
小 写 ， 不 支持 问号 ， 长 度 范围 是 1 一 255。 

e。 ip ip-address: 多 选 一 参数 ， 指 定 IKE 对 等 体 的 对 端 ID 
类 型 为 IP 地 址 形式 ， 并 配置 对 端 ID， 点 分 十 进 制 格式 。 

e user-fqdn remote-user-fydn: 指定 IKE 对 等 体 的 对 端 ID 
类 型 为 用 户 域名 形式 ， 并 配置 对 端 ID， 字 符 串 形式 ， 区 分 
大 小 写 ， 不 支持 问号 ， 长 度 范围 是 1 一 255。 

如 果 采 用 主 模式 的 IKEv1, id-type 只 能 配置 成 ip, 且 在 NAT 
穿越 场景 中 ，ip-address 应 配置 成 NAT 转换 后 的 地 址 
缺 省 情况 下 ,IKE 用 户 中 没有 配置 用 户 类 型 和 ID, 可 用 undo 
id-type 命令 在 IKE 用 户 中 删除 用 户 类 型 和 ID 


(可 选 ) 配置 IKE 用 户 的 描述 信息 , 字符 串 形式 , 支持 空格 ， 
区 分 大 小 写 ， 长 度 范围 是 1 一 63 
缺 省 情况 下 ， 系 统 未 配置 IKE 胃 户 的 描述 信息 


返回 IKE 用 户 表 视图 
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( 续 表 ) 


11 | 例如 : [Huawei-ike-user-table- | 退回 系统 视图 
10] quit 
ike peer peer-name a 
= 从 应 的 IKE 入 
例如 :[Huawei] ike peer huawei 再 次 进入 对 应 的 对 等 体 视图 


在 以 上 IKE 对 等 体 中 引用 前 面 配置 的 IKE 用 户 表 。IKE 对 
user-table user-table-id 等 体 中 引用 IKE 用 户 表 后 ， 在 IKE 用 户 视图 下 配置 的 预 共 
13 例 如 : [Huawel-ike-peer-huawel] 享 密 钥 优 先 级 高 于 在 IKE 对 等 体 视 图 下 配置 的 共享 密 钥 
user-table 10 缺 省 情况 下 ,IKE 对 等 体 中 没有 引用 IKE 用 户 表 , 可 用 undo 
user-table 命令 删除 引用 的 IKE 用 户 表 
在 IKE 对 等 体 视图 下 配置 ID 类 型 和 ID 值 
配置 IKE 协商 时 本 端 ID 类型。 命令 中 的 参数 说 明 如 下 : 
。 fqdn: 多 选 一 选项 ， 指 定 IKE 协商 时 本 端 ID 类 型 为 名 称 
形式 ， 如 devicea。IKEv1 野蛮 模式 和 IKEv2 支持 ，IKEv1 
主 模式 不 文 持 ; 
。ip: 多 选 一 选项 ， 指 定 IKE 协商 时 本 端 ID 类 型 为 卫 地 
址 形式 ; 
。 user-fqdn: 多 选 一 选项 , 指定 IKE 协商 时 本 端 ID 类 型 为 
local-id-type { fqdn | ip | 用 户 域名 形式 ， 如 devicea@example.com。IKEv1 野蛮 模式 
user-fqdn } 和 IKEvV2 支持 ，IKEv1 主 模式 不 支持 。 
例如 : [Huawei-ike-peer-huawei] 上 【注意 】 本 端 ID 类 型 与 对 端 ID 类 型 无 需 一 致 ， 用 户 可 分 别 
local-id-type user-fqdn 通过 命令 指定 本 端 ID 类 型 和 对 端 ID 类 型 ， 但 本 端 配置 的 
local-id-type 要 匹配 对 端 配置 的 remote-id-type， 或 在 本 表 
第 8 步 配 置 的 id-type。 
不 同 的 身份 认证 方式 支持 的 本 端 ID 类 型 以 及 本 端 ID 的 配 
置 方法 存在 差异 ， 有 具体 参见 表 3-10。 
缺 省 情况 下 ，IKE 协商 时 本 端 ID 类 型 为 IP 地 址 形式 ， 可 用 
undo local-id-type 命令 将 恢复 IKE 协商 时 本 端的 有 D 类 型 恢 
复 为 缺 省 设置 
(可 选 ) 配置 IKE 协商 时 的 本 端 ID 值 ， 字 符 串 格式 ， 长 度 
范围 是 1~~255， 区 分 大 小 写 ， 不 支持 空格 ， 支 持 特殊 字符 
《如 !、@、#、$、% 等 )， 区 分 大 小 写 。 字 符 串 内 容 可 以 是 
a FQDN、USER-FQDN。 仅 当 IKE 对 等 体 的 ID 类 型 为 FQDN、 
ey A oe User-FQDN 时 ， 需 要 执行 此 步骤 配置 本 端 IDD 值 。 
de Remadeaa ta 也 可 在 系统 视图 下 执行 ike local-name local-name 命令 来 配 
(Cg 置 IKE 协商 时 的 本 端 ID， 此 时 设备 上 所 有 的 IKE 对 等 体 都 
使 用 此 ID 进行 身份 认证 。 
缺 省 情况 下 ， 系 统 没有 设置 IKE 协商 使 用 的 本 端 ID， 可 用 
undo local-id 命令 取消 IKE 协商 使 用 的 本 端 ID 
配置 IKE 协商 时 对 端的 ID 类 型 ， 命 令 中 的 any 选项 表示 指 
. .站 是正 E 对 等 体 对 端 ID 类 型 为 任意 类 型 , 其 他 选项 说 明 参 本 
i {any |fqdn | ip 表 第 14 步 说 明 。 
user-fqdn 、 
本 | 本 端 ID 类 型 与 对 端 ID 类 型 无 需 一 致 ， 可 分 别 通过 命令 指 
例如 : [Huawei-ike-peer-huawei] Ju hy , 
td 定 本 端 ID 类 型 和 对 端 ID 类 型 。 
缺 省 情况 下 ， 系 统 未 设置 IKE 协商 时 对 端的 ID 类型， 可 通过 
undo remote-id-type 命令 取消 配置 IKE 协商 时 对 端的 ID 类 型 
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remote-id id 
17 | 例如 : [Huawei-ike-peer-huawei] 


remote-id userQ@hw.com 
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( 续 表 ) 


(可 选 ) 配置 IKE 协商 时 的 对 端 ID 值 ， 字 符 串 格式 ， 长 度 
施 围 是 1 一 2$3$， 区 分 大 小 写 ， 不 支持 空格 ， 支 持 特 殊 字 符 
(如 !、@、#、$、% 等 )， 区 分 大 小 写 。 字 符 串 内 容 可 以 是 
FQDN、 USER-FQDN., 

【说 明 】〗IKE 协商 过 程 中 ， 可 以 使 用 remote-id-type、 
remote-id 命令 配置 对 端的 ID 类 型 和 ID, 对 接 入 的 对 等 体 
进行 验证 。 

在 IKEv1 版 本 中 , 配置 的 remote-id, 只 能 验证 对 端的 身份 : 
在 IKEv2 版 本 中 ， 配 置 的 remote-id， 可 以 发 送 给 对 端 ， 与 
对 端的 local-id 进行 验证 。 

当 通 过 上 一 步 命令 配置 了 对 端 ID 类 型 为 IP 时 ， 无 论 是 否 
配置 了 本 命令 ， 都 默认 采用 remote-address 命令 的 值 作为 
对 端 ID 值 。 

缺 省 情况 下 ,系统 没有 配置 JIKE 协 商 时 的 对 端 ID ,可 用 undo 
remote-id 命令 取消 上 述 配置 


表 3-8 采用 RSA 签名 认证 方法 时 的 认证 参数 、ID 类 型 和 ID 值 的 配置 步骤 


Sn 


system-view 
例如 : <Huawei> system-view 


ike peer peer-name 

2 | 例如 : [Huawei] ike peer 
Huawel 
version { 1|2》} 

3 | 例如 : [Huawei-ike-peer-huawei] 
version 2 


rsa signature-padding { pkcsl 
| pss } 


例如 : [Huawei-ike-peer-huawei] 
rsa signature-padding pss 


pki realm realm-name 
5 | 例如 : [Huawei-ike-peer-huawei] 
pki realm test 





说 明 
进入 系统 视图 


创建 IKE 对 等 体 并 进入 IKE 对 等 体 视图 


配置 IKE 对 等 体 使 用 的 IKE 协议 版 本 号 


配置 RSA 签名 的 填充 方式 。 命 令 中 的 选项 说 明 如 下 : 

e。 pkcsl: 二 选 一 选项 , 指定 RSA 签名 的 填充 方式 为 PKCS1 
(Public-Key Cryptography Standards 1, 公共 密 钥 加 密 标准 第 
1 版 本 )。 

e。 pss: 二 选 一 选项 ， 指 定 RSA 签名 的 填充 方式 为 PSS 
(Probabilistic Signature Scheme， 概 率 签 名 方案 )。 采 用 PSS 
方式 时 ， 认 证 算法 不 能 配置 为 SM3 算法 。 

缺 省 情况 下 ，RSA 签名 的 填充 方式 为 PKCS1， 可 用 undo rsa 
signature-padding 命令 用 来 将 RSA 签名 的 填充 方式 恢复 为 
缺 省 配置 


指定 数字 证 书 所 属 的 PKI 域 〈 必 须 是 已 存在 的 PKI 域名 )， 
根据 PKI 域 下 的 配置 信息 获取 本 端的 数字 证 书 。 认 证 方式 
为 RSA 签名 时 ， 代 表 本 地 ID 的 IP 地 址 、DN、Name、 
User-FQDN 等 信息 都 在 本 地 证 书 中 

缺 省 情况 下 ，IKE 对 等 体 的 数字 证 书 没有 指定 PKI 域 ， 可 
用 undo pki realm 命令 用 来 取消 指定 IKE 对 等 体 的 数字 证 
书 所 属 的 PKI 域 
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local-id-type { dn | fqdn | ip | 
user-fqdn } 

例如 : [Huawei-ike-peer-huawei] 
local-id-type fqdn 


remote-id-type { any | dn | 
fqdn | ip | user-fqdn } 

例如 : [Huawei-ike-peer-huawei] 
remote-id-type fqdn 


remote-id id 
例如 : [Huawei B-ike-peer- 


huawel] remote-id device A 


inband ocsp 
例如 : [Huawei B-ike-peer- 
huawel| inband ocsp 


inband crl 
例如 : [Huawei _B-ike-peer- 
huawel]l inband crl 





( 续 表 ) 
”说 明 


配置 本 地 ID 类 型 ， 其 中 的 dn 类 型 是 指定 IKE 协商 时 本 站 
ID 类 型 为 可 识别 名 称 DN (Distinguished Name) 形式 ， 其 
他 类 型 说 明 参 见 表 3-7 中 的 第 14 步 。ID 类 型 是 使 用 display 
pki certificate 命令 查看 到 的 ID 类 型 。 

不 同 的 身份 认证 方式 支持 的 本 端 ID 类 型 以 及 本 羡 ID 的 配 
置 方法 存在 差异 ， 有 具体 参见 表 3-10。 

缺 省 情况 下 , IKE 协商 时 本 端 ID 类 型 为 IP 地 址 形式 , 可 用 
undo local-id-type 命令 用 来 恢复 下 E 协商 时 本 端的 ID 类 型 
为 缺 省 设置 


配置 IKE 协商 时 对 端的 ID 类 型 , 命令 中 的 选项 说 明 参 见 表 
3-7 中 的 第 16 步 。 同 一 IKE 对 等 体 ， 本 端 和 对 端的 ID 类 
型 必须 相同 。 

缺 省 情况 下 ， 系 统 未 设置 IKE 协商 时 对 端的 ID 类 型 ， 可 用 
undo remote-id 命令 取消 原来 配置 


配置 IKE 协商 时 的 对 端 ID 值 ,字符 串 格 式 ,长 度 范 围 是 1 一 
25$$， 区 分 大 小 写 ， 不 支持 空格 ， 支 持 特殊 字符 〈 如 !、@、 
#、$、% 等 )， 区 分 大 小 写 。 字符 串 内 容 可 以 是 DN、FQDN、 
USER-FQDN。 

【 注意】 如 果 在 上 一 步 配置 了 对 端 ID 类 型 为 IP， 可 以 不 配 
置 本 命令 ， 此 时 将 默认 采用 remote-address 命令 配置 的 值 
作为 对 端 ID 值 。 

如 果 本 地 ID 类 型 配置 为 FQDN 或 User-FQDN, 对 于 IKEv1 
协商 ,对 端 ID 取 IKE 对 等 体 下 配置 的 remote-id; 对 于 IKEv2 
协商 ,对 端 ID 优先 取证 书 里 对 应 的 ID 字段 ( FQDN 取 DNS 
字段 值 ，User-FQDN 取 email 字段 值 ), 证 书 中 没有 对 应 ID 
字段 时 才 取 IKE 对 等 体 下 配置 的 remote-id 


配置 采用 数字 证 书 认 证 时 ， 指 定 通过 IKE 协议 承载 OCSP 
请 求 / 啊 应 进行 在 线 证 书 状态 认证 。 只 有 当 创 建 的 PKI 域 视 
图 下 配置 的 certificate-check 命令 选择 为 ocsp 选项 时 ， 执 
行 该 命令 才 有 效 。 

缺 省 情况 下 ， 系 统 没 有 通过 IKEv2 协议 承载 OCSP 请 求 / 响 
应 进行 在 线 证 书 状态 认证 ， 可 用 undo inband ocsp 命令 取 
消 通过 IKEv2 协议 承载 OCSP 请 求 /响应 进行 在 线 证 书 状态 
认证 


配置 采用 数字 证 书 认 证 时 ， 指 定 通过 IKEv2 协议 承载 CRL 
注销 列表 请 求 和 CRL 注销 列表 响应 。 

只 有 当 创建 的 PKI 域 视图 下 配置 的 certificate-check 命令 选 
择 为 crl 选项 时 ， 执 行 该 命令 才 有 效 。 同 时 ， 还 需 在 系统 视 
图 下 执行 ike authentication certificate-check crl enable 命 
令 ， 使 IKE 采用 数字 证 书 认 证 时 的 CRL 检查 。 
缺 省 情况 下 ,系统 没有 配置 IKEv2 承载 CRL 注销 列表 请 求 
和 响应 ， 可 用 undo inband crl 命令 取消 IKEv2 协议 承载 
CRL 注销 列表 请 求 和 响应 的 配置 
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_ 步 又 ee 说 明 
配置 对 IKE 对 等 体 下 的 证 书 不 进行 有 效 性 的 校 验 。 


缺 省 情况 下 ， 对 IKE 对 等 体 下 的 证 书 进行 有 效 性 的 校 验 ， 
可 用 undo certificate-check disable 命令 恢复 缺 省 配置 


certificate-check disable 


11 例如 : [Huawei-ike-peer-huawei] 
certificate-check disable 





指定 证 书 请 求 载荷 内 容 为 空 。 

当 路 由 器 作为 总 部 网 关 ， 配 置 策 略 模板 方式 IPSec 安全 策略 
时 ， 如 果 采 用 数字 证 书 认证 分 文 ， 可 以 配置 证 书 请 求 载 答 
内 容 为 空 , 以便 允许 不 同 CA 组 织 的 分 支 接 入 。 总 部 根据 分 
支 证 书 的 信息 ， 到 对 应 的 证 书 域 进行 证 书 验 证 。 但 当 接 入 
设备 不 能 处 理 认证 授权 字段 为 空 的 证 书 请 求 报 文 时 ， 则 不 
能 配置 本 命令 ， 否 则 将 导致 隧道 协商 失败 。 

缺 省 情况 下 ,设备 发 出 的 证 书 请 求 载荷 包含 CA 信息 ,可 用 
undo certificate-request empty-payload enable 命令 恢复 证 


certificate-request empty- 
payload enable 

12 | 例如 : [Huawei-ike-peer-huawei] 
certificate-request empty- 
payload enable 





表 3-9 


system-view 


采用 RSA 数字 信封 认证 方法 


书 请 求 载 倚 的 缺 省 配置 


时 的 认证 参数 、ID 类 型 和 ID 值 的 配置 步骤 
0 说 明 


区 
| 例如 : <Huawei> system-view 人 轩 
、 ike peer peer-name 创建 IKE 对 等 体 并 进入 IKE 对 等 体 视图 。 其 他 说 明 参 


例如 : [Huawei] ike peer Huawei 


version {1|2} 


见 3.1.3 节 表 3-4 第 2 步 


配置 KE 对 等 体 使 用 的 IKE 协议 版 本 号 。 
缺 省 情况 下 ,一 个 IKE 对 等 体 同 时 支持 IKEv1 和 IKEv2 


3 I: 1-ike-peer- I i 
例如 ; [Huawel-ike-peer-huawelj 两 个 协议 版 本 ， 可 用 undo version { 1 | 2 } 命 令 取消 对 
version 2 

应 配置 
配置 RSA 签名 的 填充 方式 。 命 令 中 的 选项 说 明 参 见 表 
rsa signature-padding {pkcsl1|pss} | 3-8 听 第 4 步 。 

4 | 例如 : [Huawei-ike-peer-huawei] rsa | 只 有 IKEv1 主 模 式 支 持 RSA 数字 信封 认证 。IKE 协 
signature-padding pss 商 时 ,本 端 和 远 端 的 ID 类 型 只 支持 DN 形式 ， 且 无 需 

配置 
pt | 配置 IKE 协商 时 的 对 端 ID 值 ， 其 他 说 明 参 见 表 3-8 中 

5 例如 : [Huawei B-ike-peer-huawei] 的 第 8 步 
remote-id device A 

。 re 】 | 配置 对 IKE 对 等 体 下 的 证 书 不 进行 有 效 性 的 校 验 。 其 

: [Huawei-ike-peer-huawe!l 涪 明 参见 表 3-8 中 的 第 11 ; 
certificate-check disable 他 说 明 参 见 表 中 的 第 11 步 
certificate-request empty-payload 
bl a i ee , 
pe | 指定 证 书 请 求 载荷 内 容 为 空 。 其 他 说 明 参见 表 3-8 中 的 
7 例如 : [Huawei-ike-peer-huawei] 


certificate-request empty-payload 
enable 





第 12 步 


表 3-10 


| 


预 共享 密 铀 
认证 《pre- 


share) 


RSA 签名 
认证 《rsa- 


signature) 


RSA 数字 信封 
认证 (digital- 
envelope) 


SM2 数字 信封 
认证 (digital- 
envelope new) 
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血 价 认证 万 式 与 本 六 ID 类 型 、 a ID ee 











UserFQDN key-id , 
IKEv1 野蛮 模式 和 
IKEv2 文 持 ; IKEvV1 
主 模式 不 支持 。 

。 ID 使 用 local-id 
命令 配置 ， 表 示 访 
IKE 对 等 体 用 此 ID 
进行 身份 认证 

e ID 使 用 ike local- 
name 命令 配置 , 表 
示 设 备 上 所 有 的 对 
等 体 都 使 用 此 ID 
进行 身份 认证 

e local-id 命令 配 
置 的 ID 优先 级 高 
于 ike local-name 


命令 配置 的 ID 






IKEvl 野蛮 异 起 和 和 
IKEv2 文 持 ; IKEv1] 
主 模式 不 文 持 。 

。 ID 使 用 local-id 命 
令 配置 ， 表 示 该 IKE 
对 等 体 用 此 ID 进行 
身份 认证 

。 ID 使 用 ike local- 
name 命令 配置 ， 表 
示 设 备 上 所 有 的 对 
等 体 都 使 用 此 ID 进 
行 身份 认证 

e local-id 命令 配置 
的 ID 优先 级 高 于 ike 
local-name 命令 配置 
的 ID 






































支持 。 

Efficient VPN 
策略 中 设备 作 
为 Remote 站 
与 思科 设备 互 
通 时 使 用 该 
参数 














文 持 
ID 使 用 


tunnel local 


命令 配置 










支持 。 
Efficient VPN 
策略 中 设备 作 
为 Remote 端 与 
思科 设备 互通 
时 使 用 该 参数 



















文 持 。 
ID 使 用 


tunnel local 


命令 配置 


文 持 。 
无 需 配 置 ， 默 认 使 
用 证 书 中 对 应 字段 
的 ID 


文 持 。 
无 需 配 置 ， 默 认 使 用 
| 证书 中 对 应 字段 的 
yy 字 | ID 





















文 持 。 
置 ， 默 认 
使 用 证 书 
中 对 应 字 
段 的 ID 


文 持 
置 ， 默 认 
使 用 证 书 
中 对 应 字 
段 的 ID 


不 文 持 不 支持 不 支持 不 文 持 





| 


文 持 不 文 持 不 文 持 不 文 持 


3.1.4 配置 安全 策略 


在 IKE 动态 协商 方式 建立 IPSec 隧道 应 用 中 ， 有 “通过 ISAKMP” 和 “通过 策略 模 
板 ” 两 种 创建 安全 策略 的 方式 。 

(1) ISAKMP 方式 

ISAKMP 是 一 个 安全 框架 协议 ， 采 用 这 种 方式 时 ， 直 接 在 安全 策略 视图 中 定义 需要 
协商 的 各 项 参数 ， 而 且 协 商 发 起 方 和 响应 方 参数 必须 配置 相同 。 配 置 成 可 以 主动 发 起 协 
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商 的 方式 。 

(2) 策略 模板 方式 

上 略 模 板 视 图 中 定义 了 需要 协商 的 一 些 必要 参数 ， 未 定义 的 可 选 参数 由 发 起 方 来 决 
定 ， 而 且 啊 应 方 会 接受 发 起 方 的 建议 。 本 端 配 置 了 策略 模板 时 不 能 发 起 协商 ， 只 能 作为 
协商 响应 方 接受 对 端的 协商 请 求 ， 一 般 在 总 部 配置 策略 模板 方式 。 

采用 策略 模板 可 以 简化 多 条 IPSec 隧道 建立 时 的 配置 工作 量 ， 因 为 有 些 参数 可 以 直 
接 采 用 发 起 方 的 配置 。 另 外 ， 策 略 模板 可 满足 特定 的 场景 ， 如 通信 对 端的 IP 地 址 不 固定 
或 预先 未 知 的 情况 下 《例如 对 端 是 通过 PPPoE 拨号 获得 的 卫 地 址 )， 允 许 这 些 对 端 设备 
癌 采 用 了 策略 模板 配置 的 本 端 设 备 主动 发 起 协商 ， 而 策略 模板 中 无 需 指定 对 端 ID (IP 
地 址 )。 

为 外 ,与 I SAKMP 方式 不 同 的 是 , 采用 策略 模板 方式 时 用 于 定义 数据 流 保护 范围 的 
ACL 是 可 选 的 ， 该 参数 在 未 配置 的 情况 下 ,支持 最 大 范围 的 保护 ， 即 直接 采用 协商 发 起 
方 所 配置 的 用 于 定义 保护 数据 流 的 ACL。 






如 果 一 端 采用 动态 公 网 卫 地 址 分 配方 式 接 入 Internet， 要 建立 IPSecVPN 隧道 就 
必须 采用 策略 模板 方式 来 配置 。 

在 VRPV200R006 以 前 版 本 中 ， 对 于 手工 和 IKE (无 论 ISAKMP 策略 或 策略 模板 ) 
方式 创建 的 安全 策略 ， 都 不 能 直接 修改 其 参数 配置 ， 而 必须 先 删 除 该 安全 策略 然后 再 重 
新 创建 。 

在 VRP V200R006 及 以 后 版 本 中 ,IPSec 安全 策略 对 应 的 IPSec 安全 策略 组 在 接口 应 
用 后 ， 如 果 需 要 修改 security acl、proposal 和 ike-peer 参数 ， 则 需要 先 取 消 IPSec 安全 
策略 组 在 接口 的 应 用 ， 且 需要 重新 将 IPSec 安全 策略 组 应 用 到 接口 才能 生效 ; 如 果 修 改 
其 他 参数 , 则 在 下 次 IKE 协商 时 生效 ,对 于 已 经 协商 起 来 的 IPSec 隧道 这 些 参 数 不 生 效 。 


1]. 通过 ISAKMP 创建 IKE 动态 协商 方式 安全 策略 
通过 ISAKMP 创建 IKE 动态 协商 方式 安全 策略 的 具体 步骤 见 表 3-11。 


表 3-11 通过 ISAKMP 创建 IKE 动态 协商 方式 安全 策略 的 配置 步骤 
步 又 0 


system-view 


进入 系统 视图 


例如 : <Huawei> system-view 


创建 IKE 动态 协商 方式 安全 策略 ， 并 进入 IKE 动态 协商 方 
式 安全 策略 视图 。 命 令 中 的 参数 说 明 如 下 : 

。 policy-name: 指定 安全 策略 的 名 称 ， 字 符 串 格式 ， 长 度 
ipsec policy policy-name seq- 范围 是 1 一 1$， 区 分 大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 
number isakmp 空格 。 

例如 : [Huawei] ipsec policy e seq-number : 指定 安全 策略 的 序号 ， 整 数 形式 ， 取 值 范 
policyl 100 isakmp 围 是 1 一 10000， 值 越 小 表示 安全 策略 的 优先 级 越 高 。 

缺 省 情况 下 ， 系 统 不 存在 安全 策略 ， 可 用 undo ipsec policy 
policy-name[ seq-number ] 命令 删除 指定 名 称 (或 同时 指定 
序号 ) 的 安全 策略 
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security acl acl-number 

例如 : [Huawei-ipsec-policy- 
1Sakmp-policy1-100] security 
acl 3100 


proposal proposal-name 
例如 : [Huawei-ipsec-policy- 
isakmp-policyl-100] proposal 
propl 


ike-peer peer-name 

例如 : [Huawei-ipsec-policy- 
1Sakmp-pollicy1-100] ike-peer 
huawel 


tunnel local { ip-address | 
binding-interface } 


例如 : [Huawei-ipsec-policy- 
isakmp-policyl-100] tunnel 
local binding-interface 
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( 续 表 ) 
有 : ， 
在 安全 策略 中 引用 前 面 已 创建 的 用 于 认定 需要 保护 数 流 的 
高 级 ACL。 一 个 安全 策略 只 能 引用 一 个 ACL， 引 用 新 的 
ACL 时 必须 先 删 除 原 有 引用。 
缺 省 情况 下 ， 系 统 没 有 引用 ACL， 可 用 undo security acl 
命令 删除 已 引用 的 ACL 


在 安全 策略 中 引用 已 在 第 2 章 2.4.3 节 定 义 IPSec 安全 
提议 。 

【注意 】 一 个 IKE 协商 方式 的 安全 策略 最 多 可 以 引用 12 
个 IPSec 安全 提议 。 隧 道 两 端 进行 IKE 协商 时 将 在 安全 
策略 中 引用 最 先 能 够 完全 匹配 的 IPSec 安全 提议 。 如 果 
IKE 在 两 端 找 不 到 完全 匹配 的 IPSec 安全 提议 , 则 SA 不 
缺 省 情况 下 ， 系 统 没 有 引用 IPSec 安全 提议 ， 可 用 undo 
proposal [ proposal-name ] 命 令 删 除 已 引用 的 IPSec 安全 
提议 

在 安全 策略 中 引用 已 在 3.1.3 节 创 建 好 的 IKE 对 等 体 。 同 一 
IPSec 安全 策略 组 不 同 序 号 的 IPSec 安全 策略 下 不 能 引用 
具有 相同 地 址 的 IKE 对 等 体 。 

缺 省 情况 下 , 系统 没有 引用 IKE 对 等 体 , 可 用 undo ike-peer 
命令 删除 引用 的 IKE 对 等 体 

【说 明 】 配 置 IKE 动态 协商 方式 建立 IPSec 隧道 时 ,需要 引 
用 IKE 对 等 体 ， 但 ISAKMP 安全 框架 引用 的 IKE 对 等 体 
不 需要 指定 本 端 地 址 local-address 和 对 端 地 址 remote- 
address， 因 为 安全 框架 进行 IKE 协商 时 ， 选 用 的 本 端 地 址 
和 对 端 地 址 分 别 是 通过 IPSec 虚拟 隧道 接口 的 源 地 址 和 目 
的 地 址 指定 的 ， 安 全 框架 所 引用 的 IKE 对 等 体 中 的 
local-address 和 remote-address 配置 不 生效 


(可 选 ) 配置 IPSec 隧道 的 本 问 地 址 。 命 令 中 的 参数 说 明 
如 下 : 

e ip-address: 二 选 一 参数 , 指定 IPSec 降 道 的 本 端 卫 地 址 ; 
。 binding-interface: 二 选 一 参数 ， 指 定 应 用 安全 策略 接口 
的 主 地 址 为 IPSec 隧道 的 本 端 地 址 。 该 参数 只 在 ISAKMP 
方式 安全 策略 视图 下 有 效 。 

【说 明 】 对 于 IKE 动态 协商 方式 的 安全 策略 , 一 般 不 需要 配 
置 IPSec 隧道 的 本 端 地 址 , SA 协商 时 会 根据 路 由 选择 IPSec 
隧道 的 本 端 地 址 。 

。 当 安 全 策略 实际 绑 定 的 接口 卫 地 址 不 国定 或 无 法 预知 
时 ， 执 行 tunnel local ip-address 指定 设备 上 其 他 接口 (如 
LoopBack 接口 ) 的 卫 地 址 作为 IPSec 隧道 的 本 端 IP 地 址 ， 
也 可 以 执行 tunnel local binding-interface 指定 该 接口 的 地 
址 为 IPSec 隧道 的 本 端 IP 地 址 。 

e 当 安 全 策略 实际 绑 定 的 接口 配置 了 多 个 卫 地址 (一 个 主 
IP 地 址 和 多 个 从 卫 地 址 ) 时 ， 执 行 tunnel local ip-address 
指定 其 中 一 个 IP 地 址 作为 IPSec 隧道 的 本 端 卫 地 址 , 也 可 
以 执行 tunnel local binding-interface 指定 该 接口 的 主 地 址 
为 本 端 卫 地 址 。 
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tunnel local { ip-address | 
binding-interface } 

例如 : [Huawei-ipsec-policy- 
1Sakmp-policy1-100] tunnel 
local binding-interface 


sa trigger-mode { auto | 
traffic-based } 

例如 : [Huawei-ipsec-policy- 
1Sakmp-pollicy1-100] sa 
trigger-mode traffic-based 


pfs { dh-groupl | dh-group2 | 
dh-group$ | dh-groupl4 | dh- 
groupl19 | dh-group20 | dh- 
group21} 


例如 : [Huawei-ipsec-policy- 
1Sakmp-pollicy1-100] pfs dh- 
groupl 


respond-only enable 

例如 : [Huawei-ipsec-policy- 
1Sakmp-policy1-100] respond- 
only enable 


policy enable 

例如 : [Huawei-ipsec-policy- 
isakmp-policyl-100] policy 
enable 
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a im 


e 与 对 庙 时 端 存在 等 价 路 由 时 执行 tunnel oe 1 


-address | binding-interface } 来 指定 IPSec 隧道 的 本 端 IP 了 地 
址 ， 使 IPSec 报 文 从 指定 接口 出 去 。 

。 端 配置 本 命令 时 必须 与 对 端 引用 的 IKE 对 等 体 中 配置 的 
remote-address (IKE 对 等 体 视图 ) 命令 配置 一 致 。 

缺 省 情况 下 ， 系 统 没 有 配置 IPSec 隧道 的 本 端 地 址 ， 可 用 
undo tunnel local 命令 删除 IPSec 隧道 的 本 端 地 址 

(可 选 ) 配置 PSec SA 的 触发 方式 。 命 令 中 的 选项 说 明 如 下 : 
e auto: 二 选 一 选项 ， 指 定 IPSec SA 的 触发 方式 为 自动 触 
发 方式 ， 将 自动 触发 IPSec SA 协商 ; 

。 traffic-based: 二 选 一 选项 ， 指 定 IPSec SA 的 触发 方式 
为 流量 触发 方式 ， 当 有 符合 该 安全 策略 的 数据 流 外 出 时 才 
会 触发 IPSec SA 协商 。 

缺 省 情况 下 ，IPSec SA 的 触发 方式 为 自动 触发 方式 ， 可 用 
undo sa trigger-mode 命令 将 IPSec SA 的 触发 方式 恢复 为 
缺 省 配置 

(可 选 ) 配置 本 端 发 起 协商 时 使 用 的 PFS 特性 ,用 于 本 端 发 
起 协商 时 ， 在 IKEv1 阶段 2 或 IKEv2 创建 子 SA 交换 的 协 
商 中 进行 一 次 附加 的 DH 交换 ,保证 IPSec SA 密 钥 的 安全 ， 
以 提高 通信 的 安全 性 。 命令 中 的 选项 说 明 参 见 本 章 3.1.2 节 
表 3-3 中 的 第 6 步 。 

【注意 】 如 果 本 端 指定 了 PFS， 对 端 在 发 起 协商 时 必须 是 PFS 
交换 。 本 端 和 对 端 指定 的 DH 组 必须 一 致 ， 否 则 协商 会 失 
败 。 但 如 果 对 端 是 策略 模板 方式 的 时 候 ，DH 组 可 以 不 一 致 。 
缺 省 情况 下 ， 本 端 发 起 协商 时 没有 使 用 PFS 特性 ， 可 用 undo 
pfs 命令 配置 IPSec 隧道 本 端 在 协商 时 不 使 用 PFS 特性 
(可 选 ) 配置 本 端 不 主动 发 起 协商 。 

缺 省 情况 下 ， 如 果 本 端 采 用 ISAKMP 方式 IPSec 安全 策略 
建立 IPSec 隧道 ， 则 本 端 将 主动 发 起 IPSec 协商 。 如 果 IPSec 
对 等 体 两 端 都 采用 ISAKMP 方式 IPSec 安全 策略 建立 IPSec 
隧道 ， 则 两 端 都 会 主动 发 起 协商 。 此 时 ， 配 置 其 中 一 端 作 
为 啊 应 方 ， 不 主动 发 起 协商 ,， 方便 用 户 观 察 报 文 处 理 流程 ， 
进而 有 助 于 IPSec 故障 诊断 和 定位 。 如 果 和 需要 本 端 主 动 发 
起 协商 , 则 可 执行 undo respond-only enable 命令 取消 本 端 
作为 IPSec 响应 方 的 配置 。 

本 步 配置 仅 VRP V200 主 版 本 以 后 才 支 持 

(可 选 ) 启用 IPSec 安全 策略 。 

缺 省 情况 下 ，IPSec 安全 策略 组 中 的 策略 处 于 启用 状态 ， 可 
用 undo policy enable 命令 禁用 IPSec 安全 策略 组 中 的 一 条 
策略 。 通 过 执行 undo policy enable 命令 禁用 一 条 IPSec 安 
全 策略 后 ， 该 IPSec 安全 策略 将 不 进行 隧道 的 建立 。 
本 步 配置 仅 VRP V200 主 版 本 以 后 才 支 持 


2. 通过 策略 模板 创建 IKE 动态 协商 方式 安全 策略 
在 IKE 动态 协商 方式 建立 IPSec 的 应 用 情形 中 ， 在 IPSec 隧道 的 两 端 ， 协 商 发 起 方 
需要 采用 ISAKMP 策略 配置 安全 策略 ， 协 商 响应 方 既 可 采用 ISAKMP 策略 配置 安全 策 
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略 ， 又 可 采用 策略 模板 方式 配置 安全 策略 。 故 本 配置 方式 只 能 在 响应 方 进行 。 





1 “策略 模板 方式 IPSec 安全 策略 的 配置 原则 如 下 。 

e IPSec 隧道 的 两 端 只 能 有 一 端 配置 策略 模板 方式 的 IPSec 安全 策略 (作为 协商 响应 
方 ) ， 另 一 端 必 须 配 置 JSAKMP 方式 的 IPSec 安全 策略 (作为 协商 发 起 方 )。 

e 在 策略 模板 配置 中 ， 引 用 IPSec 安全 提议 和 IKE 对 等 体 为 必 选 配置 ， 其 他 为 可 选 
配置 。 策 略 模板 中 没有 定义 的 参数 由 发 起 方 来 决定 ， 响 应 方 会 接受 发 起 方 的 建议 。 

通过 策略 模板 创建 IKE 动态 协商 方式 安全 策略 的 具体 步骤 见 表 3-12。 一 个 安全 策略 
模板 中 的 配置 可 以 被 多 个 安全 策略 所 引用 ， 这 样 可 大 大 减少 多 个 采用 相同 安全 策略 的 配 
置 的 工作 量 。 

表 3-12 通过 和 全 生生 IKE ee ds Ld eile 

ee -一 一 一 一 | 





System-view 


进入 系统 视图 


创建 策略 模板 ， 并 进入 策略 模板 视图 。 命 令 中 的 参数 说 明 

如 下 : 

e template-name: 指 定 策略 模板 的 名 称 ， 字 符 串 格式 ， 长 度 范 

围 是 1 一 15， 区 分 大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 空格 ; 
ipsec policy-template policy- 00-MBer 指定 傣 略 绩 权 的 厅 号 厅 池 钙 小 信和 玩 朋 训 
template-name seq-number : 整数 形 区 ， ns “oye a 

多 者 必 直方 着 而 响应 广 应 方 会 会 接受 发 起 方 的 建议 。 本 

端 配置 了 策略 模板 时 不 能 发 起 协商 ， 只 能 作为 协商 响应 方 

接受 对 端的 协商 请 求 . 

缺 省 情况 下 ， 系 统 不 存在 策略 模板 ， 可 用 undo ipsec policy- 

template template-name [ seq-number ] 命令 删除 一 个 策略 模板 

组 或 者 策略 模板 组 中 的 一 个 策略 模板 《通过 序号 指定 ) 


(可 选 ) 在 安全 策略 中 引用 已 创建 的 用 于 定 认 需 要 保护 的 数 
securty ac ce | 据 流 的 高 级 ACL。 但 在 策略 模板 方式 中 ， 该 配置 是 可 选项 
3 | 例如 ，[Huaweiipsee-polioy。 | 的 ， 最 终 是 接受 发 起 方 所 定义 的 ACL。 
i 一 个 安全 策略 只 能 引用 一 个 ACL。 如 果 设 置 安全 策略 引用 


了 多 于 一 个 ACL， 最 后 配置 的 有 效 


在 安全 策略 中 引用 已 在 第 2 章 2.4.3 节 定 义 的 了 PSec 安全 提议 。 

【注意 】 一 个 策略 模板 最 多 可 以 引用 12 个 IPSec 安全 提议 。 

隧道 两 端 进行 IKE 协商 时 将 在 安全 策略 中 引用 最 先 能 够 完 

全 匹配 的 IPSec 安全 提议 。 如 果 IKE 在 两 端 找 不 到 完全 匹 
PP 配 的 IPSec 安全 提议 ， 则 SA 不 能 建立 . 

4 juto so cy | 在 策略 模板 中 引用 多 个 IPSec 安全 提议 时 , 请 确保 模板 所 引 
proposal prop1l 用 的 所 有 IPSec 安全 提议 与 IPSec 隧道 另 一 端的 IPSec 安全 

策略 所 引用 的 所 有 安全 提议 的 封装 模式 均 相 同 ， 即 封装 模 

式 都 为 传输 模式 或 都 为 隧道 模式 。 

缺 省 情况 下 ， 系 统 没 有 引用 IPSec 安全 提议 ， 可 用 undo 

proposal [ proposal-name ] 命 令 删 除 已 引用 的 了 了 Sec 安全 提议 


例如 : <Huawei> system-view 


policy-template templatel 100 
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ike-peer peer-name 

5 | 例如 : [Huawei-ipsec-policy- 
templet-template1-100] ike- 
peer huawel 


pfs { dh-groupl | dh-group2 | 
dh-group$ | dh-group14 | dh- 
group19 | dh-group20 | dh- 

6 group21 } 
例如 : [Huawei-ipsec-policy- 
templet-template1-100] pfs dh- 
groupl14 


policy enable 

7 例如 : [Huawei-ipsec-policy- 
templet-templatel-100] policy 
enable 


quit 
8 例如 : [Huawei-ipsec-policy- 
templet-template1-100] quit 


ipsec policy policy-name seq- 
number isakmp template 
template-name 


例如 : [Huawei] ipsec policy 
policyl 10 isakmp template 
templatel 
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( 续 表 ) 
说 明 
在 策略 模板 中 引用 已 在 3.1.3 节 创 建 好 的 IKE 对 等 体 。 
【注意 】 一 个 接口 只 能 应 用 一 个 策略 模板 ， 一 个 策略 模板 只 
能 引入 一 个 IKE 对 等 体 ， 而 一 个 KE 对 等 体 又 只 能 配置 一 
个 预 共享 密 钥 ,因此 在 采用 策略 模板 的 IPSec 中 , 所 有 VPN 
隧道 都 必须 配置 相同 的 预 共 享 密 钥 . 这 样 只 要 有 一 条 IPSec 
隧道 的 预 共 享 密 钥 泄露 ， 则 其 他 所 有 的 IPSec VPN 通信 安 
全 都 受到 威胁 .这 个 问题 在 V200R006 以 及 以 后 版 本 中 得 到 
了 解决 ， 有 具体 参见 3.1.3 节 的 表 3-6。 

缺 省 情况 下 , 系统 没有 引用 IKE 对 等 体 , 可 用 undo ike-peer 
命令 删除 引用 的 IKE 对 等 体 


(可 选 ) 配置 本 端 发 起 协商 时 使 用 的 PFS 特性 。 该 命令 用 于 
本 端 发 起 协商 时 ， 在 IKEv1 阶段 2 或 IKEvV?2 创建 子 SA 交 
换 的 协商 中 进行 一 次 附加 的 DH 交换 ， 保 证 IPSec SA 密 铀 
的 安全 ， 以 提高 通信 的 安全 性 。 

其 他 说 明 参 见 本 章 3.1.2 节 表 3-3 中 的 第 6 步 





(可 选 ) 启用 IPSec 安全 策略 。 

缺 省 情况 下 ，IPSec 安全 策略 组 中 的 策略 处 于 启用 状态 ， 可 
用 undo policy enable 命令 禁用 IPSec 安全 策略 组 中 的 一 条 
策略 。 通 过 执行 undo policy enable 命令 禁用 一 条 IPSec 安 
全 策略 后 ， 该 IPSec 安全 策略 将 不 进行 隧道 的 建立 。 
本 步 配置 仅 VRP V200 主 版 本 以 后 才 支 持 


返回 系统 视图 


创建 安全 策略 并 引用 前 面 创建 的 策略 模板 。 一 个 IPSece 安 
全 策略 组 只 能 有 一 条 IPSec 安全 策略 引用 策略 模板 ， 且 该 
策略 的 序号 推荐 比 其 他 策略 的 序号 大 , 即 同 一 个 IPSec 安全 
策略 组 中 策略 模板 方式 IPSec 安全 策略 的 优先 级 必须 最 低 ， 
否则 可 能 导致 其 他 IPSec 安全 策略 不 生效 。 引 用 的 策略 模板 
名 称 不 能 与 安全 策略 名 称 相同 。 

引用 策略 模板 创建 一 个 安全 策略 之 后 ， 就 不 能 进入 该 安全 
策略 视图 下 进行 安全 策略 的 配置 与 修改 了 ， 只 能 进入 策略 
模板 视图 下 配置 或 修改 





在 基于 ACL 方式 的 IKE 动态 协商 建立 IPSec 隧道 的 应 用 中 ， 可 选 配置 的 扩展 功能 
比较 多 ， 包 括 安 全 策略 中 的 可 选 扩展 功能 和 IKE 对 等 体 中 的 可 选 扩展 参数 ， 具 体 如 下 。 

。 配置 IPSec 隧道 绑 定 VPN 实例 ; 

。 配置 原始 报 文 信息 预 提 取 功 能 ; 


。 配置 路 由 注入 功能 ; 
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。 配置 IPSec 解 封装 报 文 进行 ACL 检查 : 与 手工 方式 的 配置 方法 完全 一 样 ， 参 见 第 
2 章 2.4.5 节 对 应 功能 配置 方法 ; 

。 配置 报 文 分 片 功能 :与 手工 方式 的 配置 方法 完全 一 样 ， 参 见 第 2 章 2.4.5 节 对 应 
功能 配置 方法 ; 

。 配置 安全 联盟 生存 周期 ; 

。 配置 抗 重 放 功能 ; 

。 配置 多 链 路 共享 功能 ; 

e。 配置 保护 相同 数据 流 的 新 用 户 快速 接 入 总 部 功能 ; 

。 配置 NAT 穿越 功能 ; 

e 配置 NAT Keepalive 定时 丹 ; 

e 配置 Heartbeat 定时 器 ; 

。 配置 对 等 体 存 活检 测 。 

以 上 这 些 功能 都 是 可 根据 实际 需 选 择 配置 的 ， 不 是 必须 配置 的 。 下 面 对 以 上 与 手工 
方式 配置 方法 不 同 的 可 选 功能 的 具体 配置 方法 进行 介绍 。 

1. 配置 IPSec 隧道 绑 定 VPN 实例 

通过 配置 VPN 实例 绑 定 扩展 功能 可 指定 隧道 对 端 所 属 的 VPN， 从 而 知道 报 文 的 发 
送 接口 ， 并 将 报 文 发 送出 去 ， 可 以 实现 IPSec 的 VPN 多 实例 连接 。 它 在 手工 方式 建立 
IPSec 隧道 的 方案 中 也 是 可 行 的 〈 已 在 第 2 章 2.4.5 节 中 做 了 介绍 ， 且 其 是 在 安全 策略 下 
配置 的 )。 在 IKE 动态 协商 方式 ， 该 项 扩展 功能 有 以 下 两 种 配置 方式 。 

。 采用 SA 方式 绑 定 VPN 实例 ， 所 有 VRP 版 本 均 支 持 ; 

。 采用 IKE 用 户 方式 绑 定 VPN 实例 ， 仅 VRP V200R006 及 以 后 版 本 支持 。 

采用 IKE 用 户 方式 绑 定 VPN 实例 方式 可 以 基于 用 户 类 型 区 别 经 过 IPSec 隧道 的 分 
文 流量 所 属 的 VPN 实例 ， 进 而 实现 不 同 分 支流 量 的 隔离 。 其 优先 级 高 于 采用 SA 方式 绑 
定 VPN 实例 。 






“在 JIKE 动态 协商 方式 建立 IPSec 隧道 的 情形 下 中 ,该 功能 的 配置 只 对 IKE 协商 发 
起 方 有 意义 ， 因 为 当 隧 道 的 发 起 方 发 送 报 文 时 ， 需 要 知道 报 文 的 发 送 接口 。 而 对 于 接收 
方 来 说 ,接收 到 的 报 文 中 已 经 在 发 送 方 配置 了 该 VPN 属性 , 因此 即使 不 配置 该 命令 也 能 
够 成 功 接收 报 文 。 

表 3-13 给 出 了 以 上 两 种 配置 方式 下 绑 定 VPN 实例 的 具体 配置 方法 。 

表 3-13 配置 IPSec 隧道 绑 定 VPN 实例 的 步骤 





a 
system-view 进入 系统 视图 


例如 : <Huawci> system-view 


方式 一 : 采用 SA 方式 绑 定 VPN 实例 









ike peer peer-name [ v1 | v2 | 
例如 : [Huawei] ike peer 
huawel v1 


创建 IKE 对 等 体 并 进入 IKE 对 等 体 视图 
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指定 以 上 对 等 体 间 建 立 的 IPSec 隧道 所 绑 定 的 VPN 实例 。 


sa binding vpn-instance vpn- ”| 参数 vpn-instance-name 是 一 个 已 经 通过 ip vpn-instance 
instance-name vpn-instance-name 命令 创建 的 VPN 实例 ， 字 符 串 格式 ， 长 
3 例如 : [Huawei-ike-peer- 度 范 围 是 1 一 31。 区 分 大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 


huawei| sa binding vpn- 空格 。 

instance vpna 缺 省 情况 下 ，IPSec 隧道 没有 绑 定 VPN 实例 ， 可 用 undo sa 
binding vpn-instance 命令 删除 IPSec 隧道 绑 定 的 VPN 实例 
方式 二 : 采用 IKE 用 户 方式 绑 定 VPN 实例 


2 en a 进入 需要 绑 定 VPN 实例 , 包括 已 在 3.1.3 节 表 3-7 中 创建 的 
3 王 本 及 
10 IKE 用 户 表 视图 





USer user-name . 本 , 
3 例如 : [Huawei-ike-user-table- 人 VPN 实例 , 包括 已 在 3.1.3 节 表 3-7 中 创建 的 


10] user winda 





vpn-instance 
vpn-instance-name 配置 IPSec 隧道 流量 所 属 的 VPN 实例 ， 其 他 说 明 参 见 本 表 
例如 : [Huawei-ike-user-table- | 方式 一 中 的 第 3 步 


10-winda] vpn-instance vpnl 





quit 
> 例如 : [Huawei-ike-user-table- | 退回 IKE 用 户 表 视图 
10-winda] quit 


quit 
6 例如 : [Huawei-ike-user-table- | 退回 系统 视图 
10] quit 
| 进入 有 IKE 用 户 需要 绑 定 VPN 实例 的 IKE 对 等 体 视图 


例如 : [Huawei] ike peer peerl 


user-table user-table-id 


8 例如 : [Huawei-ike-peer-peerl] | 在 以 上 IKE 对 等 体 中 引用 前 面 配 置 的 IKE 用 户 表 


user-table 10 





2. 配置 原始 报 文 信息 预 提取 功能 

本 项 功能 的 主要 作用 是 使 设备 仍 按照 呈报 文 的 PP 报头 QoS 信 息 对 报 文 进行 处 理 (如 
对 报 文 进行 分 类 ， 采 用 相应 的 QoS 优先 级 或 QoS 策略 )， 同 样 其 在 手工 方式 建立 IPSec 
隧道 的 情形 中 也 是 可 行 的 ， 且 已 在 第 2 章 2.4.5 市 进行 了 上 其 体 的 介绍 。 

在 IKE 动态 协商 方式 建立 IPSec 隧道 情形 下 ， 配 置 原始 报 文 信息 预 提 取 功 能 的 具体 
配置 步骤 见 表 3-14。 


表 3-14 配置 原始 报 文 信息 预 提 取 功 能 的 步骤 
步 又 ， “说 有 


system-view 
例如 : <Huawei> system-view 


进入 系统 视图 


ipsec policy policy-name seq-number (二 选 一 ) 在 通过 ISAKMP 创建 IKE 动态 协商 方 
isakmp 起 


式 安全 策略 中 ， 创 建 IKE 动态 协商 方式 安全 策 


例如 : [Huawei] ipsec policy policyl 略 ， 并 进入 IKE 动态 协商 方式 安全 策略 视图 
100 isakmp 
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” 《 续 表 ) 
ipsec policy-template policy-template- (二 选 一 ) 在 通过 策略 模板 创建 IKE 动态 协商 方 
tri 式 安全 策略 中 ， 创 建 策略 模板 ， 并 进入 策略 模板 
例如 : [Huawei] ipsec policy-template 视图 
templatel 100 
da 配置 对 原始 报 文 信息 进行 预 提取 。 
例如 : [Huawei-ipsec-policy-isakmp- 缺 省 情况 下 ,系统 没有 配置 对 原始 报 文 信息 的 预 


icyl-1 -class 让 由 
3 | policy1-100] qos pre-classify 提取 ， 可 使 用 undo qos pre-classify 命令 取消 对 


原始 报 文 信息 的 预 提取 


或 [Huawei-ipsec-policy-templet-template1- 
100] qos pre-classify 
3. 配置 路 由 注入 功能 
这 项 扩展 功能 仅 在 IKE 动态 协商 方式 建立 IPSec 隧道 情形 下 可 行 ， 手 工 方式 建立 
IPSec 隧道 情形 下 不 可 行 。 司 用 了 路 由 注入 功能 后 ， 设 备 会 根据 安全 策略 中 引用 的 ACL 
中 各 规则 的 目的 地 来 生成 路 由 ， 路 由 的 下 一 跳 为 本 正在 IPSec SA 协商 过 程 中 学 习 到 的 
IPSec 阴道 的 对 新 地 址 。 
当 分 文 与 总 部 建 并 IPSec 隧道 时 ， 需 要 在 总 部 网 关上 配置 到 分 支 子 网 的 静态 路 由 才 
能 实现 分 文子 网 与 总 部 网 络 的 互通 。 但 当 分 文子 网 众多 时 ， 总 部 网 关上 为 此 配置 的 静态 
路 由 就 非常 庞大 , 并 且 当 分 文 机 构 网 络 发 生变 化 时 , 总 部 网 关 还 需要 修改 静态 路 由 配置 ， 
网 络 维护 困难 。 通 过 配置 此 处 介绍 的 路 由 注入 功能 ， 可 根据 IPSec 隧道 信息 为 总 部 网 关 
注入 到 达 分 文子 网 的 路 由 信息 ， 减 少 了 手工 配置 的 肪 烦 ， 提 高 了 正确 性 。 
如 图 3-1 所 示 ， 分 文 机 构 网 关 与 总 部 网 关 建立 IPSec 隧道 ， 主 机 al 代表 分 支 机 构 子 
网 ， 主 机 bl 代表 公司 总 部 子 网 。 总 部 网 关上 配置 了 一 条 ACL 规则 ， 定 义 了 IPSec 保护 
由 bl 去 往 al 的 数据 流 ， 在 未 能 路 由 注入 功能 时 ， 总 部 网 关 需 要 保证 去 往 每 个 分 支 机 构 
子 网 的 路 由 可 达 。 总 部 网 关上 使 能 路 由 注入 功能 后 ， 会 自动 生成 目的 全 地 址 为 ACL 规 
则 的 目的 地 址 (车 ACL 规则 的 目的 地 址 未 配置 ， 则 目的 IP 地 址 为 0.0.0.0/0.0.0.0， 表 示 
为 缺 省 路 由 )， 下 一 跳 为 分 支 机 构 网 关 的 IPSec 隧道 端点 IP 地 址 的 路 由 表 项 。 









rule permit ip source 
IPb destination IPai 


CO) 原 有 路 由 G) 使 能 路 由 注入 功能 后 ， 添 加 路 由 





图 3-1 路 由 注入 功能 示意 


路 由 注入 蕊 能 有 静态 和 动态 两 种 。 
。 使 能 静态 路 由 注入 功能 时 : 路 由 注入 功能 生成 静态 路 由 配置 后 立即 添加 到 本 地 ， 
但 路 由 不 随 隧道 状态 变化 而 变更 。 
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。 使 能 动态 路 由 注入 功能 时 : 如 果 IPSec 隧道 Up,， 路 由 注入 功能 生成 的 动态 路 由 可 
以 添加 到 本 地 ;如果 IPSec 隧道 Down， 路 由 注入 功能 生成 的 动态 路 由 又 可 以 从 本 地 
删除 。 

与 静态 路 由 注入 相 比 ， 动 态 路 由 注入 功能 将 生成 的 路 由 与 IPSec 隧道 状态 相关 联 ， 
避免 了 IPSec 隧道 Down 时 对 等 体 仍 向 IPSec 隧道 发 送 流量 ， 造 成 流量 的 丢失 。 

路 由 注入 功能 生成 的 路 由 也 可 以 为 其 配置 优先 级 ， 从 而 可 以 更 加 灵活 地 应 用 路 由 。 
例如 ， 当 议 备 上 还 配置 有 其 他 的 到 达 相 同 目的 地 路 由 的 方式 时 ， 如 果 为 它们 指定 相同 优 
先 级 ， 则 可 实现 负载 分 担 。 如 果 指 定 不 同 优先 级 ， 则 可 实现 路 由 备份 。 

路 由 流入 功能 的 具体 配置 方法 见 表 3-15。 

表 3-15 配置 路 由 注入 功能 的 步骤 

system-view 进入 系统 视图 


例如 : <Huawei> system-view 


说 明 


ipsec policy policy-name segq- a pe i 
ler iak (二 选 一 ) 在 通过 ISAKMP 创建 IKE 动态 协商 方式 安全 策略 


中 ， 创 建 IKE 动态 协商 方式 安全 策略 ， 并 进入 IKE 动态 协 


例如 [Huawei] ipsee policy | 商 方 式 安全 策略 视图 
policyl 100 isakmp 













g ipsec policy-template policy- 
template-name seq-number (二 选 一 ) 在 通过 策略 模板 创建 IKE 动态 协商 方式 安全 策略 
例如 : [Huawei] ipsec policy- ”| 中 ,创建 策略 模板 ， 并 进入 策略 模板 视图 
template templatel 100 

| 配置 路 由 注入 功能 。 命 令 中 的 参数 和 选项 说 明 如 下 : 
。 static: 二 选 一 选项 ， 使 能 静态 路 由 注入 功能 。 路 由 注入 

route inject { static | dynamic } | 功能 生成 静态 路 由 配置 后 立即 添加 到 本 地 , 并 且 静 态 路 由 不 
WE Cn 随 隧道 状态 变化 而 变更 。 该 选项 只 在 ISAKMP 方式 安全 策 
例如 : [Huawei-ipsec-policy- 略 视 图 下 支持 。 

A 。 dynamic: 二 选 一 选项 , 使 能 动态 路 由 注入 功能 .如 果 IPSec 
En 隧道 Up， 路 由 注入 功能 生成 的 静态 路 由 可 以 添加 到 本 地 


Tuawei_ ipseo.policy.templet。 | 如 果 IPSec 隧道 Down， 生 成 的 静态 路 由 可 以 从 本 地 删除 。 
templatel-100] route inject 。 preference: 指定 路 由 注入 功能 的 优先 级 ， 整 数 形式 ， 取 
static preference 10 值 范 围 是 1 一 255， 缺 省 值 为 60。 

缺 省 情况 下 ， 系 统 未 配置 路 由 注入 功能 ， 可 用 undo route 
inject 命令 取消 配置 路 由 注入 功能 

4. 配置 安全 联盟 生存 周期 

SA (安全 联盟 ) 生存 周期 只 对 IKE 动态 协商 建立 的 SA 有 效 ， 对 手工 方式 建立 的 
SA 没有 限制 ， 因 为 手工 方式 建立 的 SA 永远 不 会 失效 。 但 这 里 所 配置 的 SA 生存 周期 又 
分 IKE SA 生存 周期 和 IPSec SA 生存 周期 ，IKE SA 生存 周期 的 配置 仅 YRP V200R006 
及 以 后 版 本 支持 。 

IKE SA 的 生存 周期 是 从 旧 IKE SA 建立 到 生命 周期 截止 的 时 间 。 在 新 的 IKE SA 还 
没有 协商 完 之 前 ， 依 然 使 用 旧 的 下 E SA。 在 新 的 IKE SA 建立 后 ， 系 统 立 即使 用 新 IKE 
SA 取代 旧 IKE SA， 而 旧 IKE SA 在 人 硬 生 存 周期 到 期 后 被 目 动 清除 。 但 改变 生存 周期 ， 

\ 会 影响 已 经 建立 的 下 E SA， 而 是 会 在 以 后 的 IKE 协商 中 用 于 建立 新 的 IKE SA。 具 体 
的 IKE SA 生存 周期 配置 步骤 见 表 3-16。 
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表 3-16 配置 IKE SA 生存 周期 的 步骤 








ike proposal proposal-number 






2 | 例如 : [Huawei] ike proposal | 进入 要 配置 IKE SA 生存 周期 的 IKE 安全 提议 视图 
10 rp 
配置 IKE SA 的 生存 周期 ， 整数 形式 ， 取 值 范围 为 60 一 604 800， 
单位 为 秒 。 
sa duration time-value 如 果 生 存 周期 到 期 ，IKE SA 将 自动 更 新 。 因 为 IKE 协商 需 
2 例如 : [Huawei-ike-proposal- ”| 要 进行 DH 计算 ， 需要 经 过 较 长 的 时 间 ， 为 使 IKE SA 的 更 






新 不 影响 安全 通信 ， 建 议 在 生存 周期 大 于 600 秒 缺 省 情况 
下 ， 设 置 KE SA 的 生存 周期 为 86 400 秒 ， 可 用 undo sa 
duration 命令 ， 将 IKE SA 的 生存 周期 恢复 为 缺 省 值 


10] sa duration 720 





配置 IPSec SA 生存 周期 可 使 IPSec SA 实时 更 新 ， 降 低 IPSec SA 被 破解 的 风险 ， 提 
高 安全 性 。 如 果 生 存 周期 到 达 指 定 的 时 间或 指定 的 流量 ，IPSec SA 就 会 失效 。 如 果 同 时 
为 IPSec SA 配置 了 这 两 种 生存 周期 , 无 论 哪 一 种 类 型 的 生存 周期 先 到 期 , IPSec SA 都 会 
失效 。 在 IPSec SA 快要 失效 前 ，IKE 将 为 对 等 体 协商 新 的 IPSec SA。 在 新 的 IPSec SA 
协商 好 之 后 ， 对 等 体 立 即 采 用 新 的 IPSec SA 保护 IPSec 通信 。 

IPSec SA 生存 周期 可 以 基于 全 局 配置 ， 也 可 以 基于 安全 策略 配置 。 如 果 没 有 单独 为 
茶 安 全 策略 设置 IPSec SA 生存 周期 ， 则 采用 设 定 的 全 局 生存 周期 。 如 果 同 时 配置 了 基于 
全 局 和 基于 安全 和 集 略 的 IPSec SA 生存 周期 ， 基 于 安全 策略 的 IPSec SA 生存 周期 生效 。 
IPSec SA 生存 周期 具体 配置 步骤 见 表 3-17。 


表 3-17 配置 安全 联盟 生存 周期 的 步骤 
步 人 0 





system-view | 
例如 : <Huawei> system-view 进入 系统 视图 


方法 一 : 在 系统 视图 下 配置 SA 的 生存 周期 


(可 选 ) 设置 全 局 SA 生存 周期 。 命 令 中 的 参数 说 
明 如 下 : 

。 time-based interval: 指定 以 时 间 为 基准 的 SA 
全 局 生存 周期 ， 其 是 从 SA 建立 开始 到 此 SA 协商 存 
活 的 时 间 ， 整 数 形式 ， 取 值 范 围 是 100 一 604 800， 
单位 是 秒 。 

。 traffic-based size: 指定 以 所 传输 的 流量 为 基准 
的 SA 全 局 生存 周期 , 是 此 SA 允许 处 理 的 最 大 流 
量 ， 整 数 形 式 ， 取 值 范围 是 0，2560 一 4 194 303， 
单位 是 干 学 节 。 

缺 省 人 情况 下 ， 以 时 间 为 基准 的 全 局 SA 生存 周期 
为 3 600 秒 , 以 流量 为 基准 的 全 局 SA 生存 周期 为 
1 843 200 干 字 和 〈1800 兆 )， 可 用 undo ipsec sa 
global-duration { time-based | traffic-based } 命 令 


恢复 全 局 SA 生存 周期 为 缺 省 值 


















ipsec sa global-duration { time- 
based interval | traffic-based size } 






例如 : [Huawei] ipsec sa global- 
duration traffic-based 10240 











i 


| 
| 
| 
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( 续 表 ) 






从 
a 


:在 安全 策略 下 配置 SA 的 生存 周期 ” 
ipsec policy policy-name seq- 
number isakmp 


让 党 三 









(二 选 一 ) 进入 要 配置 IPSec SA 生存 周期 的 
ISAKMP 方式 安全 策略 视图 






例如 : [Huawei] ipsec policy 
policyl 100 isakmp 











. ipsec policy-template policy- 
template-name seq-number (二 选 一 ) 进入 要 配置 IPSec SA 生存 周期 的 策略 
例如 : [Huawei] ipsec policy- 模板 视图 
template templatel 100 
sa duration { traffic-based 
size | time-based interval } (可 选 ) 配置 安全 策略 下 SA 的 生存 周期 。 参 数 说 
例如 : [Huawei-ipsec-policy-isakmp- 明 参 见 本 表 方 法 一 中 的 第 2 步 。 

3 | policy1-100] sa duration traffic- 缺 省 情况 下 ， 没 有 设置 安全 策略 下 SA 的 生存 周 


based 20480 期 ,系统 采用 当前 全 局 SA 的 生存 周期 ,可 用 undo 
或 [Huawei-ipsec-policy-templet- sa duration { traffic-based | time-based } 命 令 取 


templatel-100] sa duration traffic-based | 消 配 置 IPSec 策略 下 SA 的 生存 周期 
20480 


5， 配 置 抗 重 放 功能 

只 有 IKE 动态 协商 的 SA 才 支持 抗 重 放 功 能 ， 手 工 方式 生成 的 SA 不 支持 抗 重 放 功 
能 。 因 为 手工 方式 建立 的 SA 是 永久 不 老化 的 ， 而 只 有 在 SA 重新 建立 时 ，AH 或 ESP 
报 文 的 序列 号 才 会 重新 开始 计算 ， 这 需要 IKE 协议 的 支持 。 

重 放 报 文 是 指 已 经 处 理 过 的 报 文 ， 报 文 的 序列 号 与 原来 的 某 个 报 文 一 样 。IPSec 通 
过 滑动 窗口 〈 抗 重 放 窗口 ) 机 制 检测 重 放 报 文 。AH 和 ESP 协议 报 文 头 中 带 有 32 比特 序 
列 号 ， 在 同一 个 SA 内 ， 报 文 的 序列 号 依次 递增 。 当 设备 收 到 一 个 经 过 认证 的 报 文 后 ， 
如 果 报 文 的 序列 号 与 已 经 解 封 装 过 的 某 个 报 文 的 序列 号 相同 ， 或 报 文 的 序列 号 较 小 且 不 
在 滑动 窗口 内 ， 则 认为 该 报 文 为 重 放 报 文 。 

由 于 对 重 放 报 文 的 解 封装 无 实际 作用 ， 并 且 解 封装 过 程 会 消耗 设备 大 量 的 资源 ， 导 





致 业务 可 用 枉 下 降 , 实际 上 构成 了 拒绝 服务 DoSCDenial of Service) 攻击。 通过 使 能 IPSec 


| 
4 


抗 重 放 功 能 ， 将 检测 到 的 重 放 报 文 在 解 封装 处 理 之 前 丢弃 ， 可 以 降低 设备 资源 的 消耗 。 


4 但 在 某 些 特定 的 环境 下 〈 如 当 网 络 出 现 拥塞 时 或 报 文 经 过 QoS 处 理 后 )， 业 务 数据 报 文 


的 序列 号 顺序 可 能 与 正常 的 顺序 差别 较 大 ， 虽 然 并 非 有 意 的 重 放 攻击 ， 但 其 会 被 抗 重 放 
检测 认为 是 重 放 报 文 ,导致 业务 数据 报 文 被 丢弃 。 这 种 情况 下 就 可 以 通过 关闭 全 局 IPSec 
抗 重 放 功能 来 避免 报 文 的 错误 丢弃 ， 也 可 以 通过 适当 地 增 大 抗 重 放 窗口 的 宽度 ， 来 适应 


\ 业 务 正常 运行 的 需要 。 


使 用 较 大 的 抗 重 放 窗口 宽度 会 引起 系统 增 大 的 开销 ， 导 致 系统 性 能 下 降 ， 因 此 与 抗 
重 放 功 能 用 于 降低 系统 在 接收 重 放 报 文 时 的 开销 的 初 囊 不符， 因此 建议 在 能 够 满足 业务 
运行 需要 的 情况 下 ， 使 用 较 小 的 抗 重 放 窗 口 宽度 。 

抗 重 放 功能 可 以 基于 全 局 配置 ， 也 可 以 在 IPSec 安全 策略 或 策略 模板 下 配置 。 全 局 
IPSec 抗 重 放 功 能 的 配置 对 所 有 已 创建 的 IPSec 安全 策略 生效 , 针对 个 别 IPSec 安全 策略 
配置 的 抗 重 放 功 能 仅 在 对 应 的 安全 策略 下 生效 ， 不 再 受 全 局 配置 的 影响 。 具 体 的 抗 重 放 
功能 配置 步骤 见 表 3-18。 
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表 3-18 配置 抗 重 放 功 能 的 步骤 


pe 、 eo 
J 进入 系统 视图 
例如 : <Huawei> system-view 


方法 一 : 全 局 配置 抗 重 放 功能 





ipsec anti-replay { enable | 配置 抗 重 放 功 能 。 命令 中 的 选项 说 明 如 下 : 
disable } 。 enable: 二 选 一 选项 ， 使 能 抗 重 放 功 能 ; 

例如 : [Huawei] ipsec anti-replay 。 disable: 二 选 一 选项 ， 去 使 能 抗 重 放 功能 。 

0 缺 省 情况 下 ， 系 统 已 使 能 抗 重 放 功能 

以 A 人 i 指定 IPSec 抗 重 放 窗 口 的 大 小 ， 可 取 值 为 32、 
| ; 64、128、256、512、1 024， 单 位 为 bit。 

ipsec anti-replay window window- 其 他 视图 中 没有 配置 该 命令 时 ， 抗 重 放 窗口 的 
3 Size 大 小 取 系 统 视 图 中 的 值 。 如 果 其 他 视图 中 配置 

例如 : [Huawei] ipsec anti-replay 了 该 命令 ， 以 当前 视图 为 准 。 

window 128 缺 省 情况 下 ,IPSec 抗 重 放 窗口 的 大 小 是 1 024 


位 ， 可 用 undo ipsec anti-replay window 命令 





方法 二 : 在 安全 策略 下 配置 抗 重 放 功 能 

ipsec policy policy-name seq-number isakmp 
例如 : [Huawei] ipsec policy policyl 100 
isakmp 






(二 选 一 ) 进入 ISAKMP 安全 策略 视图 


3 | ipsec policy-template policy-template-name 
seq-number 


(二 选 一 ) 进入 策略 模板 视图 


例如 : [Huawei] ipsec policy-template 
templatel 100 


anti-replay window window-size 站 定 IPSec 抗 重 放 窗 口 的 大 小 ， 其 他 说 明 参 见 
例如 : [Huawei-ipsec-policy-isakmp-policy1- 本 表 第 3 步 。 
4 | 100] antirreplay window 128 缺 省 情况 下 ，IPSec 防 重 放 窗 口 的 大 小 是 1 024 


或 [Huawei-ipsec-policy-template-templatel- “| 位 , 可 用 undo anti-replay window 命令 来 将 某 
100] anti-replay window 128 个 IPSec 隧道 的 抗 重 放 窗 口 大 小 恢复 为 缺 省 值 
6， 配置 多 链 路 共享 功能 
为 了 提高 网 络 的 可 靠 性 ， 通 常 企 业 网 关 都 会 有 两 条 出 口 链 路 到 ISP， 它 们 互 为 备份 
或 者 负载 分 担 的 关系 。 当 在 两 个 出 接口 配置 了 IPSec 并 采用 相同 的 保护 方法 时 ， 那 么 就 
需要 IPSec 业务 能 够 平滑 切换 。 但 非 共 享 状态 的 两 个 出 接口 会 分 别 协商 生成 PSec SA， 
这 样 在 主 备 链 路 切换 时 ， 和 需要 消耗 时 人 间 重 新 进行 IKE 协商 生成 IPSec.SAy 会 导致 数据 流 
的 暂时 中 上 。 
此 时 ， 通 过 配置 安全 策略 组 为 多 链 路 共享 安全 策略 组 ， 设 备 使 用 逻辑 的 LoopBack 
接口 与 对 端 设 备 建立 IPSec 隧道 (一 个 LoopBack 接口 就 代表 了 本 地 设备 本 身 )， 可 以 实 
现 主 备 链 路 切换 时 IPSec 业务 不 中 断 ， 应 用 IPSec 的 两 个 物理 接口 共同 使 用 一 个 多 链 路 
共享 的 IPSec SA。 当 这 些 物 理 接口 对 应 的 链 路 功 换 时 ， 如 果 LoopBack 接口 的 状态 没有 
变化 ， 那 么 不 会 删除 IPSec SA， 也 不 需要 重新 触发 IKE 协商 ， 直接 使 用 相同 的 IPSec SA 
继续 保护 流量 。 
如 图 3-2 所 示 ， 分 文 机 构 网 关 RouterA 的 报 文通 过 两 条 出 口 链 路 到 达 总 部 网 关 
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RouterB 。 如 某 条 出 口 链 路 故障 ，RouterA 和 RouterB 间 的 IPSec 通信 不 受 影响 ， 从 而 提 
高 了 网 络 的 可 靠 性 。 


LoopBack0 







RouterA 


RouterB 
分 支 网 关 “> 总 部 网 关 


3-2 采用 多 链 路 共享 的 IPSec 隧道 示意 


配置 多 链 路 共享 功能 的 方法 很 简单 , 只 需 在 系统 视图 下 通过 ipsec policy policy-name 
shared local-interface loopback interface-number 命令 设置 安全 策略 组 对 应 的 IPSec 隧道 
为 多 条 链 路 共享 即 可 。 命 令 中 的 参数 说 明 如 下 。 

e policy-name: 指定 安全 策略 组 的 名 称 ， 必 须 在 系统 视图 下 已 经 配置 了 名 称 为 
policy-name 的 安全 策略 组 ; 

e interface-number: 指定 LoopBack 接口 编号 。LoopBack 接口 必须 为 已 经 创建 的 环 
回 口 ， 整 数 形式 ， 取 值 范围 是 0 一 1 023。 

缺 省 情况 下 , 系统 没有 设置 安全 策略 组 对 应 的 IPSec 隧道 为 多 条 链 路 共享 , 可 用 undo 
ipsec policy policy-name Shared 命令 取消 指定 的 安全 策略 组 对 应 的 IPSec 降 道 为 多 链 路 
共 至 。 





该 安全 策略 组 需要 在 多 个 (并 不 限于 两 个 ) 接口 上 应 用 才能 生效 。 


7. 配置 保护 相同 数据 流 的 新 用 户 快速 接 入 总 部 功能 

当 分 支 机 构 和 公司 总 部 成 功 建立 了 IPSec 隧道 后 ， 可 能 由 于 链 路 状态 变化 ， 分 支 机 
构 网 天 应 用 安全 策略 组 的 接口 IP 地 址 发 生 改 变 〈( 如 分 文 机 构 网 关 通 过 拨号 接 入 Internet 
与 总 部 建立 IPSec 隧道 的 情况 下 )。 但 在 此 之 前 ， 总 部 网 关 已 存在 一 条 IPSec 隧道 保护 总 
部 网 关 与 分 支 机 构 网 关 〈 原 有 用 户 ) 相互 访问 的 流量 ， 此 时 由 于 新 、 旧 IPSec 隧道 所 保 
护 的 数据 流 相 同 而 导致 的 冲突 ， 会 使 分 支 机 构 无 法 与 总 部 再 建立 一 条 新 的 IPSec 降 道 ， 
这 样 分 文 机 构 网 关 “《〈 新 用 户 ) 与 总 部 网 关 无 法 快速 重新 建立 IPSec 隧道 ， 两 者 之 间 的 流 
量 无 法 受到 安全 保护 。 这 时 , 可 以 通过 配置 保护 相同 数据 流 的 新 用 户 快 速 接 入 总 部 功能 ， 
使 分 支 机 构 网 关 与 总 部 网 关 之 前 建立 的 IPSec SA 迅速 老化 ， 以 重新 建立 IPSec 隧道 。 

该 功能 的 实现 必须 具备 以 下 前 提 条 件 。 

。 总 部 网 天 作为 IPSec 协商 啊 应 方 , 且 采 用 策略 模板 方式 与 分 文 机 构 网 关 建 立 IPSec 
隧道 。 

。 新 用 户 配 置 的 ACL 规则 必须 与 原 有 用 户 配置 的 ACL 规则 完全 一 致 。 

。 新 用 户 接 入 总 部 网 关 时 使 用 的 接口 与 原 有 用 户 使 用 的 接口 必须 是 总 部 网 关上 的 
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同一 接口 。 Ww : 
配置 保护 相同 数据 流 的 新 用 户 快 速 接 入 总 部 功能 的 方法 也 很 简单 ， 只 需 在 系统 视图 
下 执行 ipsec remote traffic-identical accept 命令 ， 使 能 保护 相同 数据 流 的 新 用 户 接 入 总 
部 功能 即 可 。 缺 省 情况 下 ， 未 使 能 保护 相同 数据 流 的 新 用 户 接 入 总 部 功能 ， 可 用 undo 
ipsec remote traffic-identical accept 命令 去 使 能 保护 相同 数据 流 的 新 用 户 快 速 接 入 总 部 
功能 。 

8 配置 NAT 穿越 功能 

部 署 IPSec VPN 网 络 时 ， 如 果 发 起 者 位 于 一 个 私 网 内 部 〈 也 就 是 IPSec 的 一 个 器 挟 
接口 的 IP 地 址 是 私 网 IP 地 址 ， 如 图 3-3 中 的 RouterA)， 远 端 位 于 公 网 侧 (如 图 3-3 中 
的 RouterB )， 而 它 希 望 与 远 端 响 应 者 直接 建立 一 条 IPSec 隧道 。 为 保证 存在 NAT 设备 的 
IPSec 隧道 能 够 正常 建立 ， 就 需要 配置 IPSec 的 NAT 穿越 功能 。 


NAT 网 关 





图 3-3 IPSec 的 NAT 穿越 示意 


有 在 本 章 前 面 已 说 明 ， 因 为 AH 协议 会 对 整个 封装 后 的 IP 报 文 (包括 卫 报头 ) 进行 
| 认证 保护 ， 如 果 AH 报 文 经 过 NAT 网 关 ， 则 报头 部 分 的 IP 地 址 肯定 会 发 生变 化 ， 这 时 
| 传输 到 达 IPSec 隧道 对 端 时 ， 肯 定 不 能 通过 AH 认证 ， 所 以 IPSec 采用 AH 作为 安全 协 
、 议 时 是 不 支持 NAT 的 。 但 是 ESP 协议 与 AH 协议 不 同 ， 它 无 论 是 对 他 报 文 进行 认证 保 
| 护 ， 还 是 进行 加 密 保护 都 不 会 包括 最 外 层 IP 报头 ， 所 以 ESP 报 文 经 过 NAT 网 关 时 IP 
报头 部 分 发 生 IP 地 址 改变 不 会 导致 在 对 端 进行 ESP 认证 、 数 据 解密 时 失败 ， 所 以 理论 
来 说 采用 ESP 作为 安全 协议 时 是 支持 NAT 的 。 

但 是 这 里 又 涉及 到 一 个 非常 现实 的 问题 ， 无 论 是 AH (IP 协议 号 为 S1)， 还 是 ESP 
(IP 协议 号 为 50) 协议 其 都 是 网 络 层 的 协议 ， 它 们 发 送 的 报 文 不 会 经 过 上 面 的 传输 层 协 
议 封 装 。 因 此 当 NAT 网 关 背 后 存在 多 个 ESP 应 用 端 时 〈 即 实现 多 对 一 的 地 址 映射 时 )， 
也 无 法 只 根据 IP 地 址 进行 反 回 上 映射， 必须 依靠 传输 层 的 UDP 或 TCP 端口 号 。 此 处 通过 
借用 UDP 的 方式 ， 巧 妙 地 实现 了 NAT 地 址 复 用 。 此 时 要 使 用 UDP 500 端口 (IKE 协商 
协议 ISAKMP 所 使 用 端口 ) 来 插入 一 个 新 的 UDP 报头 。 

IPSecNAT 穿越 简单 来 说 就 是 在 原 报 文 的 全 报头 和 ESP 报 头 间 增加 一 个 标准 的 UDP 
报头 。 这 样 ， 当 ESP 报 文 穿越 NAT 网 关 时 ，NAT 对 该 报 文 的 外 层 卫 报头 和 增加 的 UDP 
报头 同时 进行 地 址 和 端口 号 转换 (把 私 网 IP 地 址 、 端 口号 都 转换 成 公 网 )， 转 换 后 的 报 
文 到 达 IPSec 隧道 对 端 后 ， 与 普通 IPSec 报 文 处 理 方 式 相 同 。 
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NAT 穿越 功能 在 VRP V200R006 以 前 版 本 中 缺 省 是 关闭 的 ， 但 可 以 配置 ， 具 体 步 又 
见 表 3-19〈 须 在 IPSec 两 端 同时 配置 );， 但 在 V200R006 及 以 后 版 本 中 ，NAT 穿越 功能 
始终 是 使 能 的 ， 且 不 能 关闭 。 


表 3-19 配置 NAT 穿越 的 步骤 


System-yiew 
1 | 入 系统 视 
例如 : <Huawei> system-view 进入 系统 视图 


ike peer peer-name [ v1 | v2 , _ 
We 进入 IKE 对 等 体 视图 


使 能 NAT 和 穿越 功能 。 
缺 省 情况 下 ， 在 VRP V200R006 以 前 版 本 中 ，NAT 穿 
越 功能 处 于 关闭 状态 , 可 用 undo nat traversal 命令 去 
使 能 NAT 穿越 功能 。 在 V200R006 及 以 后 版 本 中 ,NAT 
3 例如 : [Huawei-ike-peer-huawei] nat | 穿越 功能 是 始终 开启 的 ， 且 不 能 关闭 。 

traversal 【注意 IKE 对 等 体 中 引用 的 IKE 安全 提议 使 用 预 共 享 
密 钥 或 数字 证 书 认 证 方法 时 ，NAT 穿越 只 支持 Name 
类 型 ( 即 配置 为 local-id-type name ) 的 协商 。 使 用 的 
IPSec 安全 提议 只 能 是 ESP 安全 协议 


例如 : [Huawei] ike peer Huawei v1 


nat traversal 








在 IPSec NAT 穿越 应 用 中 ,如 果 采 用 的 是 预 共 享 密 钥 或 数字 证 书 认 证 方法 ， 则 要 
同时 在 部 署 了 NAT 网 关 设 备 的 这 端 IKE 对 等 体 配 置 中 采用 名 称 类 型 标识 ID ( 即 配 置 
local-id-type fqdn 命令 ) ， 在 发 起 方 的 IKE 对 等 体 配置 中 采用 IP 地 址 方式 标识 对 端 ID。 


9. 配置 NAT Keepalive 定时 器 
人 人 “ 当 对 等 体 间 存 在 NAT 网 关 时 ， 需 要 配置 NAT 穿越 功能 使 报 文 正常 穿越 NAT 网关。 
( 如 果 IPSec 隧道 建立 后 长 时 间 没 有 报 文 穿越 ， 由 于 NAT 网 关上 的 NAT 会 话 有 一 定 的 存 
《 活 时 间 ， 因 此 一 旦 NAT 会 话 表 项 被 删除 ，NAT 网 关外 网 侧 的 对 等 体 无 法 继续 传输 数据 。 
| ”为 了 防止 NAT 表 项 老化 ， 可 使 NAT 网 关内 网 侧 的 IE SA 以 一 定 的 时 间 间 隔 向 对 
端 发 送 NAT Keepalive 报 文 ， 以 维持 NAT 会 话 的 存活 。 配 置 的 方法 很 简单 ， 只 需 在 系统 
视图 下 通过 ike nat-keepalive-timer interval interval 命令 配置 IKE SA 向 对 端 发 送 NAT 
Keepalive 报 文 的 时 间 间 隔 。 参 数 interval 用 来 规定 IKE SA 回 对 闯 发 送 NAT Keepalive 报 
文 的 时 间 间 隔 ， 整 数 形式 ， 取 值 范 围 是 5~300， 单 位 是 秒 。 
缺 省 情况 下 ，IKE SA 向 对 端 发 送 NAT Keepalive 报 文 的 时 间 间 隔 为 20 秒 〈 所 以 本 
项 扩展 功能 其 实 可 以 不 用 配置 )， 可 用 undo ike nat-keepalive-timer interval 命令 将 IKE 
SA 问 对 端 发 送 NAT Keepalive 报 文 的 时 间 间 隔 恢 复 为 缺 省 设置 。 
10. 配置 Heartbeat 定时 器 
在 对 等 体 间 进行 IPSec 通信 时 ， 如 果 一 新 不 啊 应 ， 而 对 端 因 系统 失效 等 异常 环境 并 
不 知道 ， 仍 旧 继 续 发 送 IPSec 流量 ， 会 造成 流量 的 丢失 。 为 了 阻止 流量 丢失 ，3 引 入 了 
Heartbeat 检测 机 制 |。 
Heartbeat 检测 是 指 本 端 定 时 地 辐 对 端 发 送 探测 报 文 ， 接 收 端 在 定时 器 超时 后 ， 寿 仍 
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然 收 不 到 报 文 ， 就 认为 对 端 已 经 不 能 正常 工作 。IKE 可 以 通过 heartbeat 报 文 检测 对 疹 故 


障 ， 维 护 IKE SA 的 链 路 状态 。 


本 端 配置 的 发 送 heartbeat 报 文 的 时 间 间 隔 需 要 与 对 端 配 置 的 等 待 heartbeat 报 文 的 超 
时 时 间 配 合 使 用 。 当 对 端 在 配置 的 超时 时 间 内 未 收 到 heartbeat 报 文 时 ， 如 果 访 IKE SA 
带 有 TIMEOUT 标记 ， 则 删除 该 IKE SA 以 及 由 其 协商 的 IPSec SA; 否则 ， 将 其 标记 为 





TIMEOUTI。 
配置 Heartbeat 定时 器 的 步骤 见 表 3-20。 
表 3-20 配置 heartbeat 定时 器 的 步骤 
步骤 | TT 





system-view 


例如 : <Huawei> system-view 


/ 
ike heartbeat { seq-num 


{ new | old } | spi-list } 


py , 
例如 : [Huawei] ike heartbeat 
seq-num new 
ike heartbeat-timer interval 
3 interval 


例如 : [Huawei] ike heartbeat- 
timer interval 20 





进入 系统 视图 


配置 heartbeat 报 文 参数 。 命 令 中 的 选项 说 明 如 下 : 
。 seq-num { new | old }: 二 选 一 选项 ， 配 置 heartbeat 报 文 
序列 号 机 制 。 

> new 表示 序列 号 载荷 类 型 遵循 IETF 制订 的 草案 draft- 
letf-ipsec-heartbeats-00.txt。 

> old 表示 序列 号 载荷 类 型 采用 草案 draft-ietf-ipsec- 
heartbeats-00.txt 出 现 前 的 取 值 。 
e。 spi-list: 二 选 一 选项 ,配置 heartbeat 报 文 携带 SPI 列表 。 
本 端 配置 的 heartbeat 报 文 参数 需要 与 对 痪 配置 的 heartbeat 
报 文 参 数 相 同 。 可 以 重复 执行 ike heartbeat seq-num 命令 ， 
但 后 面 的 配置 将 履 善 前 面 所 进行 的 配置 。 
缺 省 情况 下 ，heartbeat 报 文采 用 old 类 型 序列 号 机 制 ， 并 
且 不 携带 SPI 列表 ， 可 用 undo ike heartbeat 命令 将 
heartbeat 报 文 参 数 恢复 为 缺 省 值 


配置 IKE SA 发 送 heartbeat 报 文 的 时 间 间 隔 ， 整 数 形 式 ， 
取 值 范围 是 20 一 28 800， 单 位 是 秒 。 

【注意 】 本 端 配置 的 发 送 heartbeat 报 文 的 时 间 间 隔 需 要 与 
对 端 配置 的 等 待 heartbeat 报 文 的 超时 时 间 ike heartbeat- 
timer timeout 配合 使 用 。 当 对 端 在 配置 的 超时 时 间 内 未 收 
到 heartbeat 报 文 时 ， 如 果 该 IKE SA 带 有 TIMEOUT 标记 ， 
则 删除 该 KE SA 以 及 由 其 协商 的 IPSec SA; 否则 ， 将 其 
标记 为 TIMEOUT。 

配置 ike heartbeat-timer interval 和 ike heartbeat-timer 
timeout 时 ， 对 等 体 两 端 interval 和 timeout 要 成 对 出 现 ， 
即 在 一 个 设备 上 配置 了 ike heartbeat-timer timeout， 在 对 
端 就 要 配置 ike heartbeat-timer interval. 

等 待 heartbeat 报 文 的 超时 时 间 一 般 要 比 发 送 heartbeat 报 文 
的 时 间 间 隔 长 。 由 于 在 网 络 上 一 般 不 会 出 现 连续 超过 三 次 
的 报 文 丢失 .、 可 配置 jke heartbeat timcr timeout 为 对 端 配 
置 的 jike heartbeat-timer interval 的 三 倍 。 

缺 省 情况 下 ，IKE SA 不 发 送 heartbeat 报 文 , 可 用 undo ike 
heartbeat-timer interval 命令 取消 配置 IKE SA 发 送 heartbeat 
报 文 的 时 间 间 隔 
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E ( 续 表 ) 
步骤 说 明 
配置 IKE SA 等 待 heartbeat 报 文 的 超时 时 间 ， 整 数 形式 ， 
和 取 值 范围 是 60 一 28 800， 单 位 是 秒 。 
ike heartbeat-timer timeo Rs | 
Pe ” | 有 关注 意 事项 参 见 本 表 上 一 步 ike heartbeat-timer interval 
4 interval 命令 说 明 。 


例如 : [Huawei] ike heartbeat- Ee 2 
timer timeout 60 缺 省 情况 下 , IKE SA 不 等 待 heartbeat 报 文 , 可 用 undo ike 


heartbeat-timer timeout 命令 取消 配置 下 E SA 等 待 heartbeat 
报 文 的 超时 时 间 





11. 配置 对 等 体 存 活检 测 

前 面 已 介绍 到 ， 在 对 等 体 间 进行 IPSec 通信 时 ，Heartbeat 机 制 能 够 检测 对 端 故 障 ， 
可 以 防止 流量 的 丢失 ， 但 周期 性 的 heartbeat 消息 消耗 了 两 端的 CPU 资源 。 而 对 等 体 存 
活检 测 DPD 〈Dead Peer Detection) 机 制 可 在 通过 dpd 消息 检测 对 端 故障 的 同时 ， 降 低 
CPU 资源 的 消耗 。 

Heartbeat 机 制 和 DPD 机 制 的 区 别 如 下 。Heartbeat 机 制定 期 发 送 查 询 ， 本 端 和 对 
站 配置 需要 匹配 ; DPD 机 制 中 本 端 和 对 端 不 需要 匹配 ， 当 对 等 体 间 有 正常 的 IPSec 
流量 时 ， 不 会 发 送 DPD 消息 ， 只 有 当 一 段 时 间 内 收 不 到 对 端 发 来 的 IPSec 报 文 时 ， 
才 发 送 DPD 消息 ， 贡 省 了 CPU 资源 。 当 设备 同时 使 用 heartbeat 机 制 和 DPD 机 制 
时 ，DPD 机 制 生 效 。 两 端 DPD 参数 可 以 单独 配置 〈 除 DPD 报 文中 的 载荷 顺序 需要 
匹配 外 )。 

设备 根据 dpd type 命令 设置 以 下 两 种 检测 模式 开启 DPD 查询 , 通过 DPD 消 肯 检测 

。 按 需 型 

当 本 端 需要 癌 对 端 发 送 IPSec 报 文 时 ， 如 判断 当前 距离 最 后 一 次 收 到 对 端 IPSec 报 
文 的 时 间 已 超过 DPD 空闲 时 间 ， 则 本 端 主动 回 对 闹 发 送 DPD 请 求 报 文 。 

e。 周期 型 

如 判断 当前 距离 最 后 一 次 收 到 对 端 IPSec 报 文 的 时 间 已 超过 DPD 空闲 时 间 , 则 本 并 
主动 向 对 端 发 送 DPD 请 求 报 文 。 

本 端 主动 向 对 端 发 送 DPD 请 求 报 文 后 ， 若 在 DPD 报 文 重 传闻 隅 内 没有 收 到 对 端的 
DPD 回应 报 文 ， 则 向 对 端 重 传 DPD 请 求 报 文 ， 根 据 重 传 次 数 进 行 重 传 之 后 ， 奋 仍然 没 
有 收 到 对 端的 DPD 回应 报 文 ， 则 认为 对 问 离 线 ， 删 除 该 下 E SA 和 对 应 的 IPSec SA。 配 
置 对 等 体 存 活检 测 的 具体 步骤 见 表 3-21。 

表 3-21 配置 对 等 体 存活 检测 的 步 又 

步骤 命令 说 明 
system-view 
例如 : <Huawei> system-view 


进入 系统 视图 


ike peer peer-name [ v1 | v2 | 


2 例如 : [Huawei] ike peer 进入 IKE 对 等 体 视图 


huawelvl 
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( 续 表 ) 
eR Rh - 
/站 配置 DPD 报 文中 的 载荷 顺序 。 命 令 中 的 选项 说 明 如 下 : 

ee 。 seq-hash-notify: 二 选 一 选项 ， 指 定 DPD 报 文中 的 载体 
dpd msg { seq-hash-notify | 顺序 是 hash-notify; 

pg 。seq-notify-hash 一 选 一 选项 , 指定 DPD 报 文 中 的 载荷 顺 
3 例如 : [Huawei-ike-peer- 序 是 notify-Hash 

h 1| dpd -notify- 8 

Dawe | 9P9 msg seq 0 | 两 端 对 等 体 配置 的 DPD 报 文中 的 载荷 顺序 需要 一 致 , 否则 
对 等 体 存 活检 测 功能 无 效 。 缺 省 情况 下 ，DPD 报 文中 的 载 
向 顺序 缺 省 值 为 notify-hash 
配置 DPD 空闲 时 间 、DPD 报 文 重 传 间隔 和 重 传 次 数 。 命 
令 中 的 参数 说 明 如 下 : 
e idle-time interval: 多 选 一 选项 ， 设 置 对 等 体 存 活检 测 空 
闲 时 间 ， 整 数 形式 ， 取 值 范围 是 10~3 600， 单位 是 秒 ; 
e retransmit-interval interval: 多 选 一 选项 ， 设 置 DPD 报 





a acorn 文 重 传 间隔， 整数 形式 ， 取 值 范围 是 3 一 30， 单 位 是 秒 ; 
retransmit-interval interval | 、 Sp 
retry-limit times } 。 retry-limit times: 多 选 一 选项 , 设置 DPD 报 文章 传 次 数 ， 


例如 : [Huawei-ike-peer- 整数 形式 ， 取 信 范 围 征 3 一 10。 

huawei] dpd idle-time 300 每 个 IKE 对 等 体 可 以 单独 配置 dpd 命令 的 参数 , 而 且 不 需 
要 与 对 端 匹 配 。 缺 省 情况 下 ，DPD 空闲 时 间 、DPD 报 文 重 
传闻 隅 和 重 传 次 数 分 别 为 30 秒 、15 秒 和 3 次 ， 可 用 undo 
dpd { idle-time | retransmit-interval | retry-limit } 命 令 恢 
复 对 等 体 存 活检 测 空闲 时 间 、DPD 报 文 重 传 间隔 和 重 传 次 
数 的 缺 省 设置 

配置 DPD 检测 模式 : 按 需 型 或 周期 型 。 命令 中 的 选项 说 明 
如 下 : 

。on-demand: 二 选 一 选项 ， 指 定 检测 模式 为 按 需 型 进行 
dpd type { on-demand | 检测 ; 


ER 。periodic， 二 选 一 选项 ， 指 定 检测 模式 为 周期 型 进行 检测 。 
huawei] dpd type on-demand | 两 端 对 等 体 配置 的 DPD 报 文中 的 载荷 顺序 由 dpd msg 

命令 配置 ) 需要 一 致 ， 否 则 对 等 体 存活 检测 功能 无 效 。 
缺 省 情况 下 , 系统 没有 设置 DPD 检测 模式 , 可 用 undo dpd 
type 命令 取消 DPD 检测 模式 


3.2 典型 配置 示例 


大 多 数 的 IPSec VPN 方案 部 署 都 采用 基于 ACL 方式 的 IKE 动态 协商 方式 来 建立 
IPSec 隧道 ， 所 以 本 节 将 介绍 不 同 场景 下 应 用 本 章 前 面 所 介绍 的 具体 配置 方法 完成 对 应 
的 IPSec VPN 应 用 部 署 方案 。 


3.2.1 “采用 缺 省 IKE 安全 提议 建立 IPSec 详 道 配置 示例 


如 图 3-4 所 示 ，RouterA 为 公司 分 支 机 构 网 关 ，RouterB 为 公司 总 部 网 关 ， 分支 机 构 
与 总 部 通过 Internet 建立 通信 。 分 支 机 构 子 网 为 10.1.1.0/24, 公司 总 部 子 网 为 10.1.2.0/24。 
现 公 司 希 望 两 子 网 通过 Internet 实现 互 访 ， 且 它们 通信 的 流量 可 以 受 一 IPSec 安全 保护 。 
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分 支 子 网 总 部 子 网 
3-4 ”采用 缺 省 KE 安全 提议 建立 IPSec 隧道 配置 示 列 的 拓扑 结构 


本 示例 以 IKE 动态 协商 方式 来 建立 IPSec 隧道 ， 并 且 为 了 简化 配置 ， 对 其 中 绝 大 多 
数 安全 参数 采用 缺 省 配置 (包括 IKE 安全 提议 中 的 全 部 参数 和 IKE 安全 策略 可 选 参数 ) 
进行 部 昔 。 其 实 ， 如 果 没 有 特别 的 要 求 ， 大 多 数 情况 下 都 可 以 这 样 配 置 ， 这 样 不 仅 可 以 
减少 工作 量 ， 也 可 以 在 安全 方面 满足 用 户 的 需求 。 

假设 本 示例 的 AR G3 路 由 器 运行 V200R008 版 本 VRP 系统 ， 采 用 IKEv1 版 本 。 

1. 基本 配置 思路 分 析 

根据 3.1.1 节 介 绍 的 配置 任务 ， 再 结合 本 示例 的 具体 要 求 (IKE 安全 提议 全 部 采用 和 缺 
省 配置 )， 可 得 出 如 下 所 示 的 本 示例 基本 配置 思路 。 

(1) 配置 各 网 关 设 备 内 /外 网 接口 当前 的 IP 地 址 ， 以 及 分 支 机 构 公 网 、 私 网 与 总 部 
公 网 、 私 网 互 访 的 静态 路 由 

这 项 配置 包括 配置 连接 内 /外 网 的 接口 IP 地址， 以 及 到 达 对 端 内 /外 网 的 静态 路 由 ， 
保证 两 端 路 由 可 达 。 此 处 需要 了 解 分 支 机 构 和 公司 总 部 Internet 网 关 所 连接 的 ISP 设备 
接口 的 IP 地 址 。 

(2) 配置 ACL， 以 定义 需要 IPSec 保护 的 数据 流 

本 示例 中 ， 需 要 保护 的 数据 流 是 分 文 机 构 子 网 与 公司 总 部 子 网 之 间 的 通信 ， 其 需要 
在 IPSec 隧道 中 传输 ， 其 他 通过 Internet 的 访问 (如 访问 Web 网 站 ) 是 直接 在 Internet 
中 传输 的 。 

(3) 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 

无 论 是 手工 方式 ， 还 是 IKE 动态 协商 方式 建立 IPSec 隧道 ，IPSec 安全 提议 必须 手 
工 配 置 。 包 括 IPSec 使 用 的 安全 协议 、 认 证 /加 密 算 法 以 及 数据 的 封装 模式 。 当 然 这 些 安 
全 参数 也 都 有 缺 省 取 值 ， 需 要 时 也 可 直接 采用 。 

由 于 本 示例 中 路 由 器 运行 的 是 V200R008 版 本 VRP 系统 , 所 以 各 安全 参数 的 缺 省 取 
值 如 下 : 安全 协议 为 ESP 协议 ，ESP 协议 采用 SHA2-256 认证 算法 ，ESP 协议 采用 AES-256 
加 密 算 法 ， 安 全 协议 对 数据 的 封装 模式 采用 隧道 模式 。 本 示例 将 IPSec 安全 提议 的 认证 
算法 修改 为 SHA1， 修 改 加 密 算 法 为 AES-128， 其 他 均 采 用 缺 省 值 。 

(4) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 

本 示例 假设 采用 IKEv1 版 本 来 配置 IKE 对 等 体 ,根据 3.1.3 节 中 的 表 3-6 所 示 的 VRP 
V200R006 及 以 后 版 本 的 IKE 对 等 体 配 置 步骤 配置 两 端 对 等 体 的 认证 密 钥 、 对 端 卫 地 址 (本 
端正 地 址 可 不 配置 )、 本 端 ID 类 型 〈 两 端 配置 的 ID 类 型 必须 一 至 )、IKEv1 协商 模式 等 。 
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下 示 例 的 IKE 安全 提议 参数 采用 缺 省 的 IKE 安全 提议 Default， 不 配置 。 在 
V200R008 版 本 VRP 系统 中 ，IKE 安全 提议 的 各 项 安全 参数 缺 省 配置 如 下 : 认证 方法 为 
pre-shared key 认证 方法 ,认证 算法 为 SHA2-256， 加 密 算 法 为 AES-256, DH 窗 铀 交换 参 
数 为 group2 (1 024 位 的 Diffie-Hellman 组 )，SA 的 生存 周期 为 86 400 秒 。 


(5) 配置 安全 策略 ， en 

本 示例 假设 采用 ISAKMP 方式 协商 创建 IPSec 隧道 ， 创 建 一 个 安全 策略 ， 然 后 在 安 
全 策略 中 引用 前 面 定义 的 ACL、IPSec 安全 提议 和 IKE 对 等 体 ， nd 
用 缺 省 配置 。 

(6) 在 接口 上 应 用 安全 策略 

本 示例 中 分 支 机 构 和 公司 总 部 网 关 的 WAN 接口 都 有 固定 的 公 网 IP 地 址 ， 所 以 采用 
的 是 专线 或 者 固定 IP 地 址 的 光纤 以 太 网 方式 接 入 Internet。 所 以 ， 可 直接 在 IPSec 隧 妃 
端点 设备 的 公 网 接口 上 应 用 前 面 已 配置 的 安全 策略 组 。 

2. 具体 配置 步骤 

下 面 按照 前 面 所 做 的 配置 思路 分 析 ， 及 具体 的 配置 方法 。 

前 面 介 绍 的 配置 思路 的 第 (1) ~ (3) 项 配置 任务 与 本 书 第 2 章 2.4.8 节 介 绍 的 配 
置 步骤 中 的 第 (1) 一 〈3) 的 配置 方法 完全 一 样 ， 不 再 费 述 。 下 面 仅 介绍 上 述 第 (4) 一 
(6) 项 配置 任务 。 

第 (4) 项 任务 : 分 别 在 RouterA 和 RouterB 上 配置 IKE 对 等 体 。 

在 RouterA 和 RouterB 上 配置 IKE 对 等 体 ， 并 根据 IKE 安全 提议 的 缺 省 配置 要 求 ， 
配置 预 共 享 密 钥 〈 假 设 为 huawei) 和 对 端 ID ( 缺 省 以 IP 地 址 方式 进行 标识 )。 两 端 均 采 
用 缺 省 的 主 模式 协商 方式 ， 采 用 缺 省 的 以 IP 地 址 作为 ID 类 型 ， 均 不 配置 本 端 卫 地 址 ， 


因为 缺 省 情况 下 ， 路 由 选择 到 对 妆 的 出 接口 ， 将 该 出 接口 地 址 作为 本 疹 IP 地 址 。 
[RouterA] ike peer spub ”#--- 配 置 对 等 体 名 称 为 spub 
[RouterA-ike-peer-spub] undo version 2  #--- 取 消 对 IKEv2 版 本 的 支持 
[RouterA-ike-peer-spub] pre-shared-key simple huawei  #--- 配 置 预 共享 密 钥 认证 方法 的 共享 密 钥 为 huawei， 两 端的 
密 钥 必须 一 致 . 
[RouterA-ike-peer-spub] remote-address 202.138.162.1 #--- 配 置 对 端 IPSec 端点 IP 地 址 为 202.138.162.1 
[RouterA-ike-peer-spub] quit 


[RouterB | ike peer spua 

[RouterB-ike-peer-spub| undo version 2 
[RouterB-ike-peer-spua| pre-shared-key simple huawei 
[RouterB-ike-peer-spua| remote-address 202.138.163.1 
[RouterB-ike-peer-spua| quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ike peer, 操作 会 显示 所 配置 的 信息 ， 
以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA] display ike peer name spub verbose 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


人 
~ A Peer name : spub 
| p ee ns 
pA— Exchange mode : main on phase 1 
Pre-shared-key : huawei 
Local ID type :IP 


DPD : Disable 
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DPD mode : Periodic 
DPD idle time :30 

DPD retransmit interval :15 

DPD retry limit :3 

Host name : 

Peer Ip address :202.138162.1 
VPN name 。 

Local IP address 

Remote name : 
Nat-traversal : Disable 


Configured IKE version :Version one 
PKI realm : NULL 
Inband OCSP : Disable 


第 (5) 项 任务 : 分 别 在 RouterA 和 RouterB 上 创建 安全 策略 

本 示例 采用 通过 ISAKMP 创建 IKE 动态 协商 方式 的 安全 策略 ， 只 配置 在 3.1.4 节 表 
3-11 中 那些 必 选 的 配置 步骤 (包括 指定 引用 的 IPSec 安全 提议 和 ACL， 指 定 对 端 对 等 体 
名 称 )， 可 选 的 配置 步骤 均 采 用 缺 省 配置 。 


[RouterA] ipsec policy client 10 isakmp  #--- 创 建 名 为 client， 序 号 为 10 的 安全 策略 
[RouterA-ipsec-policy-isakmp-client-10] ike-peer spub ”#--- 指 定 对 等 体 名 称 为 spub 
[RouterA-ipsec-policy-isakmp-client-10] proposal prol  #--- 引 用 前 面 已 创建 的 IPSec 安全 提议 prol 
[RouterA-ipsec-policy-isakmp-client-10] security acl 3100 #-- 引 用 前 面 已 定义 的 用 于 指定 需要 保护 数据 流 的 ACL 3100 
[RouterA-ipsec-policy-isakmp-client-10] quit 


[RouterB | ipsec policy server 10 isakmp 
[RouterB-ipsec-policy-isakmp-server-10| ike-peer spua 
[RouterB-ipsec-policy-isakmp-server-10] proposal prol 
[RouterB-ipsec-policy-isakmp-server-10] security acl 3100 
[RouterB-ipsec-policy-isakmp-server-10] quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec policy 操作 ， 会 显示 所 配置 的 
言 上 号 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA | display ipsec policy name client 


IPSec policy group: "client" 
Using interface: 


Sequence number: 10 “# --IPSec 策略 组 序号 为 10 

Security data flow: 3100 #-- 引 用 ACL 3100 

Peer name: spub #-- 对 端 对 等 体 名 称 为 spub 

Perfect forward secrecy: None 

Proposal name: prol ”#---IPSec 安全 提议 名 称 为 prol 

IPSec SA local duration(time based): 3600 seconds #--- 以 时 间 为 基准 的 IPSec SA 生存 周期 采用 缺 省 的 3600 秒 
IPSec SA local duration(traffic based): 1843200 kilobytes #--- 以 流量 为 基准 的 IPSec SA 生存 周期 采用 缺 省 的 180MB 
Anti-replay window size: 32”#--- 抗 重 放 窗 口 大 小 采用 缺 省 的 32 位 

SA trigger mode: Automatic #---IPSec SA 协商 采用 缺 省 的 自动 触发 模式 

Route inject: None ”#-- 采 用 缺 省 的 不 启用 路 由 注入 功能 

Qos pre-classify: Disable ” #--- 采 用 缺 省 的 不 启用 对 原始 报 文 信息 进行 预 提取 功能 


第 (6) 项 任务 : 分 别 在 RouterA 和 RouterB 的 接口 (连接 Internet 的 公 网 接口 ) 上 
应 用 各 目的 安全 策略 组 ， 使 通过 这 些 接 口 发 送 的 兴趣 流 可 以 被 IPSec 保护 。 


[RouterA | interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0| ipsec policy client 
[RouterA-GigabitEthernet1/0/0| quit 
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[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ipsec policy server 
[RouterB-GigabitEthernet1/0/0] quit 


3. 配置 结 采 验证 

配置 成 功 后 , 在 分 支 机 构 主 机 PC A 执行 ping 操作 可 以 ping 通 位 于 公司 总 部 网 络 的 
主机 PC B， 但 它们 之 间 的 数据 传输 是 被 加 密 的 ， 执 行 命令 display ipsec statistics esp 可 
以 查看 数据 包 的 统计 信息 。 z 

在 RouterA 上 执行 display ike sa 操作 ， 结 果 如 下 例 所 示 。 其 中 “Conn-ID” 为 SA 
标识 符 ;“Peer” 表 示 SA 的 对 端 IP 地址, 如 果 SA 未 建立 成 功 , 此 项 目 内 容 显 示 为 0.0.0.0 
(此 处 已 正确 显示 对 端 IP 地 址 ， 所 以 证 明 已 成 功 建立 SA);“RD”(READY) 表示 SA 
已 建立 成 功 ,“ST”(STAYALIVE) 表示 本 端 是 SA 协商 发 起 方 ， 不 显示 ST 则 表示 本 病 
为 响应 方 ;“Phase” 列 中 的 “1” 或 “2” 分 别 代表 该 SA 是 第 一 阶段 的 丽 A SA， 还 是 第 
二 阶段 的 IPSec SA。 

[RouterA] display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
16 202.138.162.1 0 RDIST vi'2 
14 202.138.162.] 0 RDIST v1:1 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa 操作 ， 查 看 当前 IPSec SA 的 相关 


言 轧 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
[RouterA] display ipsec sa 


二 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Interface: GigabitEthernet 1/0/0 ” #--- 表 示 应 用 安全 策略 的 接口 
Path MTU: 1500 


一 一 -一 一 一 一 一 -一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 





IPSec policy name: "client" 
Sequence number :10 


Acl Group :3100 
Aclrule :5 ， #-- 匹 配 的 ACL 规则 号 为 5 
Mode :ISAKMP  #--- 表 示 是 通过 IKE 动态 协商 方式 安全 策略 建立 SA 
Connection ID : 16  #--- 这 是 IPSec SA 标识 各 
Encapsulation mode: Tunnel ”#--- 末 用 隧道 封装 模式 
Tunnel local : 202.138.163.1 
Tunnel remote : 202.138.162.1 
Flow source : 10.1.1.0/0.0.0.255 0/0 ”#--- 数 据 流 的 源 地 址 段 ， 最 后 两 个 0 是 表示 ACL 协议 号 和 端口 号 


Flow destination ”: 10.1.2.0/0.0.0.255 0/0 ”” #--- 数 据 流 的 目的 地 址 段 
Qos pre-classify : Disable #--- 没 启用 报 文 信息 预 提 取 功 能 


[Qutbound ESP SAs] #- 一 以 下 部 分 是 出 方向 ESP SA 参数 
SPI: 1026037179 (0x3d2815bb) # 协 商 生 成 的 SPI 参数 
Proposal: ESP-ENCRYPT-AES-18 ESP-AUTH-SHA1 #---IPSec 安全 提议 参数 配置 
SA remaining key duration (bytes/sec): 1887436800/3596 
Max sent sequence-number: 5 ” #--- 当 前 发 送 的 ESP 报 文 的 最 大 序列 号 为 $ 
UDP encapsulation used for NAT traversal: N  #--- 没 启用 NAT 透 传 功能 
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[Inbound ESP SAs] ” #-- 以 下 部 分 是 入 方向 ESP SA 参数 
SPI: 1593054859 (OxSef4168b) 
Proposal: ESP-ENCRYPT-AES-18 ESP-AUTH-SHA!1 
SA remaining key duration (bytes/sec): 1887436800/3596 
Max received sequence-number: 4 ”#--- 当 前 接收 的 ESP 报 文 的 最 大 序列 号 为 4 
Anti-replay window size: 32”#-- 抗 重 放 窗 口 大 小 为 32 位 
UDP encapsulation used for NAT traversal: N 


3.2.2 ”总 部 采用 策略 模板 方式 与 分 支 建立 多 条 IPSec 隧道 配置 示例 

如 图 3-5 所 示 ，RouterA 和 RouterB 为 公司 两 分 支 机 构 网 关 ，RouterC 为 公司 总 部 网 
关 ， 分 支 机 构 与 总 部 通过 公 网 建立 通信 ， 而 分 支 机 构 网 关 的 IP 地 址 不 国定 〈 可 能 经 各 
改变 )， 总 部 无 法 及 时 获取 。 
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PCB 
192.168.2.1/24 


图 3-5 ”总 部 采用 策略 模板 方式 与 分 支 建立 多 条 IPSec 隧道 配置 示例 的 拓扑 结构 


分 支 机 构 A 内 部 子 网 为 192.168.1.0/24， 分 支 机 构 B 内 部 子 网 为 192.168.2.0/24， 总 部 于 
网 为 192.168.3.0/24。 公司 希望 对 分 支 机 构 子 网 与 总 部 子 网 之 间 相互 访问 的 流量 进行 安全 保护 。 
假设 本 示例 的 AR G3 路 由 器 运行 V200R005 VRP 系统 版 本 ， 采 用 IKEv2 版 本 。 

1. 基本 配置 思路 分 析 

本 示例 总 体 来 说 与 前 面 介 绍 的 配置 示例 需求 相同 ， 但 有 具体 的 网 络 环境 差别 。 主 要 
体现 在 以 下 方面 个 方面 。 

。 总 部 要 与 多 个 分 支 机 构建 立 IPSec 降 着 ; 

。 分支 机 构 所 用 的 Internet 接 入 方式 不 是 固定 公 网 IP 地 址 分 配方 式 。 

本 示例 的 以 上 两 项 基本 特性 都 决定 了 ， 在 公司 总 部 采用 安全 策略 模板 方式 来 建立 安 
全 策略 是 最 佳 ， 甚 至 是 唯一 的 选择 。 一 方面 ， 采 用 策略 模板 创建 安全 策略 ， 可 以 减少 公 
司 总 部 IPSec 设备 为 连接 每 个 分 支 机构 IPSec 设备 的 配置 工作 量 ， 因 为 在 策略 模板 中 许 
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多 参数 可 以 直接 采用 发 起 方 的 参数 配置 。 

另 一 方面 ， 在 本 示例 中 明确 提 到 分 支 机 构 的 网 关 IP 地 址 是 不 固定 的 ， 这 样 总 部 
网 关 就 无 法 固定 指定 分 支 机 构 网 关 的 IP 地 址 ， 所 以 总 部 网 关 只 能 作为 响应 方 ， 而 友 
起 方 固定 为 分 支 机 构 网 关 , 这 也 决定 了 在 总 部 网 关 RouterC 上 只 能 采用 策略 模板 的 方 
式 来 创建 安全 策略 。 如 果 通 过 ISAKMP 方式 创建 安全 策略 ， 对 等 体 两 端 必 须 同时 通 
过 remote-address { ip-address | host-name } 命 令 配置 对 端的 卫 地 址 。 在 采用 策略 模板 创 
建安 全 策略 的 方式 中 ， 响 应 方 可 以 直接 从 所 接收 的 PP 报 文中 动态 获取 当时 的 对 端 人 P 地 
址 ， 找 到 适合 发 起 方 动态 IP 地 址 的 分 配方 式 。 

其 他 方面 与 前 面 介绍 的 基于 ACL 方式 IKE 动态 协商 方式 建立 IPSec 隧道 的 配置 示 
例 的 配置 思路 基本 一 样 ， 具 体 如 下 本 示例 中 的 IKE 安全 提议 仍 全 部 采用 缺 省 配置 )。 

(1) 配置 各 网 关 设 备 内 /外 网 接口 当前 的 IP 地 址 ， 以 及 分 支 机 构 公 网 、 私 网 与 总 部 
公 网 、 私 网 互 访 的 静态 路 由 。 

(2) 配置 ACL， 以 定义 在 分 支 机 构 与 总 部 网 络 之 间 的 通信 中 需要 由 IPSec 保护 的 数 
3 但 因为 分 支 机 构 网 关 IP 地 址 不 固定 ， 因 此 采用 策略 模板 方式 来 创建 安全 策略 ， 所 

以 总 部 网 关 到 达 分 支 机 构 的 保护 数据 流 的 定义 不 用 配置 。 

(3) 在 分 文 机 构 网 关 和 总 部 网 关上 配置 所 需 的 IPSec 安全 提议 ， 即 定义 IPSec 所 采 
用 的 保护 方法 。 

(4) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 





本 示例 中 的 IKE 安全 提议 全 部 采用 缺 省 值 ， 故 不 需要 配置 。 


因为 本 示例 中 总 部 网 关 总 是 作为 啊 应 方 ， 并 采用 策略 模板 方式 创建 安全 策略 ， 所 以 
竺 总 部 网 天 RouterC 上 无 需 配 置 两 分 支 机 构 网 关 的 IP 地 址 和 名 称 。 

(5) 分 别 在 RouterA、RouterB 和 RouterC 上 创建 安全 策略 ， 确 定 对 何 种 数据 流 采 取 
何 种 保护 方法 。 其 中 RouterA 和 RouterB 均 采 用 ISAKMP 方式 创建 安全 策略 ，RouterC 
采用 策略 模板 方式 创建 安全 策略 。 

(6) 在 各 网 关 的 公 网 接口 上 应 用 安全 策略 组 ， 使 通过 这 些 接口 发 送 的 兴趣 流 可 以 被 
IPSec 保护 。 

2. 具体 配置 步骤 

(1) 分 别 在 RouterA、RouterB 和 RouterC 上 配置 各 接口 的 卫 地 址 (分 支 机 构 网 关 
的 接口 IP 地 址 仅 指 当前 的 IP 地 址 ，IP 地 址 发 生变 化 后 ， 其 配置 也 要 做 相应 的 修改 )， 
以 及 分 文 机 构 公 网 、 私 网 与 总 部 公 网 、 私 网 互 访 的 静态 路 由 。 

# 在 RouterA 上 配置 接口 的 IP 地 址 〈 公 网 接口 卫 地 址 不 固定 )。 


<Huawei> system-view 

[Huawei| sysname RouterA 

[RouterA | interface gigabitethernet 0,/0,2 
[RouterA-GigabitEthernet0/0/2| ip address 192.168.1.2 255.255.255.0 
[RouterA-GigabitEthernet0/0/2] quit 


# 在 RouterA 上 配置 到 总 部 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 总 部 公 网 、 内 部 
子 网 的 下 一 跳 地 址 〈 分 文 机 构 A 端 ISP 设备 连接 RouterA 的 接口 IP 地址) 为 60.1.1.2。 


华为 VPN 学 习 指南 


[RouterA] ip route-static 60.1.3.1 32 60.1.1.2 

[RouterA] ip route-static 192.168.3.0 24 60.1.1.2 

# 在 RouterB 上 配置 接口 的 IP 地 址 ( 公 网 接口 IP 地 址 不 国定 )。 
<Huawel> system-view 

[Huawei|] sysname RouterB 

[RouterB] interface gigabitethernet 0/0/2 

[RouterB-GigabitEthernet0/0/2] ip address 192.168.1.2 255.255.255.0 
[RouterB-GigabitEthernet0/0/2] quit 


# 在 RouterB 上 配置 到 达 总 部 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 总 部 子 网 的 下 
一 跳 地 址 (分支 机 构 B 妆 ISP 设备 连接 RouterB 的 接口 IP 地 址 ) 为 60.1.2.2。 


[RouterB| ip route-static 60.1.3.1 32 60.1.2.2 
[RouterB] ip route-static 192.168.3.0 24 60.1.2.2 


# 在 RouterC 上 配置 接口 IP 地 址 。 


<Huawel> system-view 

[Huawei|] sysname RouterC 

[RouterC] interface gigabitethernet 0/0/1 
[RouterC-GigabitEthernet0/0/1] ip address 60.1.3.1 255.255.255.0 
[RouterC-GigabitEthernet0/0/1] quit 

[RouterC] interface gigabitethernet 0/0/2 
[RouterC-GigabitEthernet0/0/2] ip address 192.168.1.2 255.255.255.0 
[RouterC-GigabitEthernet0/0/2] quit 


# 在 RouterC 上 配置 到 两 分 文 机 构 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 分 文 A 子 
网 和 分 文 B 子 网 的 下 一 跳 地 址 (公司 总 部 端 ISP 设备 连接 RouterC 的 接口 IP 地 址 ) 为 
60.1.3.2。 因 为 两 分 支 机 构 网 关公 网 接口 的 IP 地 址 不 固定 ， 所 以 此 处 到 达 此 两 公 网 的 路 
由 只 能 采用 缺 省 静态 路 由 进行 配置 。 

[RouterC] ip route-static 0.0.0.0 0 60.1.3.2”#--- 到 达 分 支 机 构 所 连接 的 两 公 网 的 缺 省 静态 路 由 


[RouterC] ip route-static 192.168.1.0 24 60.1.3.2 ” #-- 到 达 分 支 机 构 A 内 部 子 网 的 静态 路 由 
[RouterC] ip route-static 192.168.2.0 24 60.1.3.2 ”#--- 到 达 分 支 机 构 B 内 部 子 网 的 静态 路 由 


(2) 分 别 在 RouterA 和 RouterB 上 配置 ACL， 定 义 各 目 要 保护 的 数据 流 。 

这 是 分 支 机 构 内 网 与 总 部 内 网 之 间 的 通信 中 需要 保护 的 数据 流 定义 。 由 于 本 示例 在 
总 部 网 关 采 用 策略 模板 来 创建 安全 策略 ， 所 以 在 总 部 网 关上 可 不 配置 定义 需要 保护 的 数 
据 流 的 ACL 当然 也 可 配置 )。 

# 在 RouterA 上 配置 ACL， 定 义 由 分 文 机 构 A 内 部 子 网 192.168.1.0/24 到 达 总 部 子 
网 192.168.3.0/24 的 数据 流 。 


[RouterA] acl number 3002 
[RouterA-acl-adv-3002] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 
RouterA-acl-adv-3002] quit 


# 在 RouterB 上 配置 ACL， 定 义 由 分 支 机 构 B 内 部 子 网 192.168.2.0/24 到 达 总 部 于 
网 192.168.3.0/24 的 数据 流 。 


[RouterB] acl number 3002 

[RouterB-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 
[RouterB-acl-adv-3002] quit 

(3) 分 别 在 RouterA、RouterB 和 RouterC 上 创建 IPSec 安全 提议 。 


本 示例 中 各 网 关上 配置 的 IPSec 安全 提议 只 需 创建 安全 提议 ， 里 面 的 参数 可 以 直接 
采用 缺 省 值 ， 即 安全 协议 为 ESP 协议 ， 采 用 DES 作为 加 密 算 法 、 采 用 MD5 作为 认证 算 
法 ， 采 用 隧道 模式 。 
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[RouterA] ipsec proposal prol 
[RouterA-ipsec-proposal-prol] quit 


[RouterB] ipsec proposal prol 
[RouterB-ipsec-proposal-prol | quit 


[RouterC] ipsec proposal prol 
[RouterC-ipsec-proposal-prol] quit 
此 时 分 别 在 RouterA、RouterB 和 RouterC 上 执行 display ipsec proposal 操作 ， 会 显 


示 所 配置 的 IPSec 安全 提议 信息 ， 以 RouterA 为 例 。 


[RouterA] display ipsec proposal name tranl 


IPSec proposal name: prol 
Encapsulation mode: Tunnel 
Transform : esp-new 
ESP protocol : Authentication MD5-HMAC-96 
Encryption DES 


(4) 分 别 在 RouterA、RouterB 和 RouterC 上 配置 KE 对 等 体 ， 假 设 采 用 IKEvV2 版 
本 来 配置 , 可 根据 3.1.3 节 表 3-5 中 所 示 的 V200R006 以 前 版 本 IKEv2 版 本 对 等 体 配置 步 
又 对 必 选 参数 进行 配置 。 

本 示例 中 ， 公 司 总 部 网 关 RouterC 固定 作为 IKE 协商 啊 应 方 ， 且 采用 策略 模 方 式 创 
建安 全 策略 ， 所 以 不 需要 配置 remote-address。 另 外 ， 因 为 缺 省 的 IKE 安全 提议 采用 预 
共享 密 钥 ， 所 以 需要 在 各 网 关上 配置 相同 的 共享 密 钥 。 其 他 可 选 配置 均 采 用 人 缺 省 配置 。 





本 示例 中 各 网 关上 没有 配置 IKE 安全 提议 ， 均 采用 系统 提供 的 缺 省 IKE 安全 提 
议 default 的 缺 省 配置 。 在 配置 对 等 体 中 ， 总 部 网 关 RouterC 可 以 为 分 支 机 构 A 和 分 支 机 
构 B 分 别 配置 相同 或 不 同 的 对 等 体 名 称 和 共享 密 钥 ( 均 属于 安全 策略 的 组 成 部 分 )， 但 分 
支 机 构 与 总 部 连接 的 对 应 IPSec 隧道 两 端 所 配置 的 对 等 体 名 称 和 共享 密 钥 必须 相同 。 此 处 选 
择 两 分 支 机 构 上 配置 对 等 体 名 称 、 共 享 窗 钥 均 采用 相同 的 方式 (对 等 体 名 称 均 为 rutl ， 共 享 
密 钥 均 为 huawei) ， 下 节 介 绍 的 配置 示例 将 采用 不 同 分 支 机 构 配 置 不 同 的 安全 策略 方式 。 

[RouterA | ike peer rutl v2 

[RouterA-ike-peer-rut1] pre-shared-key simple huawei #--- 配 置 预 共 享 密 钥 为 huawei 


[RouterA-ike-peer-rut1] remote-address 60.1.3.1 #-- 指 定 对 端 卫 地 址 ，RouterC 的 公 网 接口 IP 地 址 为 60.1.3.1 
[RouterA-ike-peer-rut1] quit 


[RouterB] ike peer rutl v2 

[RouterB-ike-peer-rut1] pre-shared-key simple huawel 
[RouterB-ike-peer-rut1] remote-address 60.1.3.1 
[RouterB-ike-peer-rut1] quit 


[RouterC] ike peer rutl v2 


[RouterC-ike-peer-rutl | pre-shared-key simple huawel 
[RoOuterC-ike-peer-ruti| quit 


此 时 分 别 在 RouterA、RouterB 和 RouterC 上 执行 display ike peer 操作 , 会 显示 所 配 
置 的 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA | display ike peer name rut] verbose 


一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 
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Peer name :rutl 
Pre-shared-key : huawel 
Local ID type ,下 

DPD : Disable 
DPD mode : Periodic 
DPD 1dle time :30 

DPD retransmit interval: 15 

DPD retry limit :3 

Peer ID type 

Host name 

Peer IP address : 60.1.3.1 
VPN name , 

Local IP address 

Local name 

Remote name : 
NAT-traversal : Disable 
Configured IKE version : Version two 
PKI realm : NULL 
Inband OCSP : Disable 


($5) 分别 在 RouterA、RouterB 和 RouterC 上 创建 安全 策略 , 其 中 RouterA 和 RouterB 
采用 ISAKMP 方式 创建 安全 策略 ，RouterC 采用 策略 模板 方式 创建 安全 策略 。 

# 在 RouterA 和 RouterB 上 配置 安全 策略 。 指 定 引 用 的 IPSec 安全 提议 ， 定 义 需 要 
保护 的 数据 流 的 ACL 和 已 配置 好 的 对 等 体 名 称 。 假 设 安全 策略 名 和 序列 号 都 一 样 。 


[RouterA] ipsec policy policyl 10 isakmp #--- 采 用 ISAKMP 方式 创建 名 为 policy1， 序 列 号 为 10 的 安全 策略 
[RouterA-ipsec-policy-isakmp-policy1-10] ike-peer rut1 #--- 指 定 对 等 名 称 为 rutl 
[RouterA-ipsec-policy-isakmp-policy1-10] proposal prol #--- 指 定 引 用 的 IPSec 安全 提议 名 称 为 prol 
[RouterA-ipsec-policy-isakmp-policy1-10] security acl 3002 #--- 指 定 引 用 ACL 3002 
[RouterA-ipsec-policy-isakmp-policy1-10] quit 


[RouterB] ipsec policy policyl 10 isakmp 
[RouterB-ipsec-policy-isakmp-policyl-10] ike-peer rutl 
[RouterB-ipsec-policy-isakmp-policyl-10] proposal prol 
[RouterB-ipsec-policy-isakmp-policy1-10] security acl 3002 
[RouterB-ipsec-policy-isakmp-pollicy1-10] quit 


# 在 RouterC 上 配置 策略 模板 ， 并 在 安全 策略 中 引用 该 策略 模板 。 无 需 指 定 引用 的 


用 于 定义 需要 保护 的 数据 流 的 ACL。 
[RouterC] ipsec policy-template server 10 ”##-- 创 建 名 为 server， 序 列 号 为 10 的 安全 策略 模板 
[RouterC-ipsec-policy-templet-use1-10] ike-peer rutl 
[RouterC-ipsec-policy-templet-usel-10] proposal prol 
[RouterC-ipsec-policy-templet-usel-10|] quit 
[RouterC] ipsec policy policyl 10 isakmp template server #--- 创 建 一 个 名 为 policy1， 序 列 号 为 10 的 安全 策略 ， 并 指 
定 引用 前 面 创 建 的 名 为 server 的 安全 策略 模板 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec policy 操作 ， 会 显示 所 配置 的 
安全 策略 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA] display ipsec policy name policy1l 


IPSec policy group: "policyl" 
Using interface: 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Sequence number: 10 
Security data flow: 3002 
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Peer name : Tutl 

Perfect forward secrecy: None 

Proposal name: prol 

IPSec SA local duration(time based): 3600 seconds 

IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Disable 


此 时 在 RouterC 上 执行 display ipsec policy-template 操作 ， 会 显示 所 配置 的 策略 模 

板 信息 。 主 要 包括 : 策略 模板 序号 (Sequence number)、 对 等 体 名 称 (Peer name)、PFD 

特性 (Perfect forward secrecy)、IPSec 安全 提议 名 称 (Proposal name)， 基 于 时 间 和 基于 

流量 的 SA 生存 周期 、 重 放 窗 口 大 小 (Anti-replay window size), 以 及 路 由 注入 功能 (Route 
inject)、 原 始 报 文 信息 预 提取 功能 〈《Qos pre-classify) 的 局 用 情况 。 


[RouterC] display ipsec policy-template 


-一 一 一 -一 一 一 一 -一 一 一 一 -一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 -一 一 -一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 





一 一 一 二 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Sequence number: 10 

Security data flow: 0 

Peer name : Tutl 

Perfect forward secrecy: None 

Proposal name: prol 

IPSec SA local duration(time based): 3600 seconds 

IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

Route inject: None 

Qos pre-classify: Disable 


(6) 分 别 在 RouterA、RouterB 和 RouterC 的 公 网 接口 上 应 用 在 前 面 已 配置 的 各 目的 
安全 策略 ， 使 通过 这 些 接口 发 送 的 兴趣 流 可 以 被 IPSec 保护 。 





“尽管 两 分 支 机 构 的 IPSec 设备 公 网 接口 所 分 配 的 王 地 址 不 国定 ,但 必须 是 三 层 的 ， 
且 当 前 已 分 配 的 IP 地 址 才能 应 用 安全 策略 。 


[RouterA] interface gigabitethernet 0/0/1 
[RouterA-GigabitEthernet0/0/1] ipsec policy policy! 
[RouterA-GigablitEthernet0/0/1] quit 


[RouterB] interface gigabitethernet 0/0/1 
[RouterB-GigabitEthernet0/0/1] ipsec policy policy1l 
[RouterB-GigablitEthernet0/0/1] quit 


[RouterC] interface gigabitethernet 0/0/1 
[RouterC-GigabitEthernet0/0/1| ipsec policy policy! 
[RouterC-GigabitEthernet0/0/1] quit 


3. 配置 结 采 验证 

配置 成 功 后 ， 分 别 在 主机 PC A 和 主机 PC B 执行 ping 操作 ， 发 现 可 以 ping 通 位 于 
公司 总 部 内 网 中 的 主机 PC C， 并 且 它 们 之 间 的 数据 传输 将 被 加 密 。 此 时 分 别 在 RouterA 
和 RouterB 上 执行 display ike sa v2 命令 ， 会 显示 相应 的 JIKE SA 信息 。 下 例 所 示 是 在 
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RouterA 上 执行 该 命令 后 的 输出 , 输出 中 信息 的 说 明 参 见 3.2.1 节 所 介绍 的 示例 中 对 这 些 


~- 人 、 一 、 
输出 信息 的 说 明 。 
[RouterA] display ike sa v2 
Conn-ID Peer VPN Flag(s) Phase 
24366 60.1.3.1 0 RDIST 2 
24274 60.1.3.1 0 RDIST 1 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
在 RouterC 上 执行 display ike sa v2 命令 ， 结 果 如 下 。 
[RouterC] display ike sa v2 


Conn-ID Peer VPN Flag(s) Phase 
961 60.12:1 0 RD 2 
933 90:1 .| 0 RD l 
937 60.1.1.1 0 RD 2 
936 60.1.1.1 0 RD 1 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
此 时 分 别 在 RouterA、RouterB 和 RouterC 上 执行 display ipsec sa 操作 , 会 显示 所 生 


成 的 IPSec SA 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
[RouterA | display ipsec sa 
Interface: GigabitEthernet0/0/]1 
Path MTU: 1500 


IPSec policy name: "policy1" 
Sequence number :10 


Acl Group : 3002 
Acl rule > 
Mode : ISAKMP 
Connection ID : 24366 
Encapsulation mode: Tunnel 
Tunnel local :G0 1.1 
Tunnel remote -00.1431 
Flow source : 192.168.1.0/255.255.255.0 0/0 


Flow destination : 192.168.3.0/255.255.255.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SAs|] 
SPI 3872459013 (0xe6d10905 ) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/2662 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs|] 
SPI: 4059702885 (0xflfa2665) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/2662 
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Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


3.2.3 ”总 部 采用 安全 策略 组 方式 与 分 支 建 立 多 条 IPSec 隧道 配置 示例 


如 图 3-6 所 示 , RouterA 和 RouterB 为 公司 分 支 机 构 网 关 , RouterC 为 公司 总 部 网 天 ， 
分 支 与 总 部 通过 公 网 建立 通信 ， 但 各 网 关 的 IP 地 址 均 固定 〈 这 是 与 3.2.2 节 所 介绍 的 示 
例 的 主要 不 同 )。 分 支 机 构 A 内 部 子 网 为 192.168.1.0/24， 分支 机 构 B 内 部 子 网 为 192.168. 


2.0/24， 总 部 子 网 为 192.168.3.0/24。 


PCA 
192.168.1.1/24 
















GE0O/0/2 
192.168.1.2/24 


Router A om 
60.1.1.1/24 60.1.3.1/24 
Router C 
GEO/0/1 ee 
60.1.2.1/24 ee 
。 :下 a 192.168.3.2/24 
outer 。 
分 支 B 网 关 


总 部 子 网 





PC 


分 支 B 子 网 192.168.3.1/24 


PCB 
192.168.2.1/24 


图 3-6 ”总 部 采用 安全 策略 组 方式 与 分 文 建立 多 条 IPSec 隧道 配置 示例 的 拓扑 结构 


现 公司 希望 对 分 支 子 网 与 总 部 子 网 之 间 相 互 访 问 的 流量 进行 安全 保护 。 分 支 与 总 部 
通过 公 网 建立 通信 ， 由 在 分 支 机 构 网 关 与 总 部 网 关 之 间 建 立 的 IPSec 隧道 来 实施 安全 保 
护 。 由 于 总 部 网 关 可 以 指定 分 支 机 构 网 关 的 卫 地 址 ， 在 RouterC 上 部 署 安全 策略 组 〈 即 
针对 不 同 分 支 机 构 配置 不 同 的 安全 策略 ， 而 不 是 像 3.2.2 节 所 介绍 的 示例 那样 在 多 个 分 文 
机 构建 立 IPSec 隧道 时 采用 相同 的 安全 策略 ) 束 可 以 癌 各 分 文 机 构 网 关 发 起 IPSec 协商 
或 接 入 各 分 支 机 构 网 关 发 起 的 IPSec 协商 ， 完 成 多 条 IPSec 隧道 的 建立 。 

假设 本 示例 AR G3 路 由 器 均 运 行 V200R005 版 本 VRP 系统 ， 采 用 IKEvV2 版 本 。 

1. 基本 配置 思路 分 析 

本 示 列 总 体 与 3.2.2 节 介 绍 的 示例 要 求 差不多 ， 不 同 的 是 本 示例 中 的 分 支 机 构 网 关 
的 公 网 卫 地 址 是 固定 的 ， 而 且 本 示例 要 采用 安全 策略 组 的 方式 在 总 部 网 关上 进行 配置 ， 
以 与 多 个 分 文 机 构 网 关 建 立 多 条 IPSec 隧道 。 也 就 是 总 部 网 关 与 不 同 分 支 机 构 采 用 不 同 
的 安全 策略 建立 IPSec 隧道 。 具 体 的 配置 思路 如 下 。 

(1) 配置 各 网 关 设 备 内 /外 网 接口 的 卫 地 址 ， 以 及 分 支 机 构 公 网 、 私 网 与 总 部 公 网 、 
私 网 互 访 的 静态 路 由 。 
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(2) 配置 ACL， 以 定义 需要 IPSec 保护 的 数据 流 。 

本 示例 中 分 文 机 构 网 关 和 总 部 网 关 的 公 网 卫 地 址 都 是 固定 的 ， 所 以 可 以 分 别 采用 
ACL 来 定义 需要 保护 的 数据 流 ， 而 不 是 像 3.2.2 节 介 绍 的 示例 那样 ， 因 为 分 支 机 构 网 关 
的 公 网 IP 地 址 不 固定 ， 导 致 总 部 网 关 不 能 用 ACL 来 定义 到 达 分 支 机 构 IPSec 设备 公 网 
所 需要 保护 的 数据 流 。 

(3) 在 分 文 机 构 网 关 和 总 部 网 关上 配置 所 需 的 IPSec 安全 提议 ， 即 定义 IPSec 采用 
的 保护 方法 。 


rs 






”本 示例 中 的 IKE 安全 提议 全 部 采用 缺 省 值 ， 故 不 需要 配置 。 


(4) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 

因为 本 示例 中 各 网 关 的 公 网 IP 地 址 都 是 固定 的 ， 所 以 都 可 以 采用 ISAKMP 方式 创 
建安 全 策略 ， 因 此 都 需要 配置 对 端 卫 地 址 。 

(5) 分别 在 RouterA 和 RouterB 上 创建 安全 策略 ， 确 定 对 何 种 数据 流 〈 通 过 引用 定 
义 需 要 保护 数据 流 的 ACL 实现 ) 采取 何 种 保护 方法 〈 通 过 引用 IPSec 安全 提议 实现 )。 
在 RouterC 上 创建 安全 策略 组 ， 分 别 确定 对 RouterA 与 RouterC、RouterB 与 RouterC 之 
间 需 要 保护 的 数据 流 采 取 何 种 保护 方法 。 

(6) 在 各 网 关 接 口上 应 用 安全 策略 或 安全 策略 组 ， 使 通过 这 些 接口 发 送 的 兴趣 流 被 
IPSec 保护 。 

2. 有 具体 配置 步 又 

(1) 分 别 在 RouterA、RouterB 和 RouterC 上 配置 各 接口 的 IP 地 址 ， 以 及 从 分 支 机 
构 到 达 总 部 公 网 / 私 网 络 的 静态 路 由 ， 使 RouterA、RouterB 与 RouterC 之 间 路 由 可 达 。 

# 在 RouterA 上 配置 接口 IP 地 址 。 


<Huawel> system-view 

[Huawei] sysname RouterA 

[RouterA] interface gigabitethernet 0/0/1 
[RouterA-GigabitEthernet0/0/1] ip address 60.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet0/0/1] quit 

[RouterA] interface gigabitethernet 0/0/2 
[RouterA-GigabitEthernet0/0/2] ip address 192.168.1.2 255.255.255.0 
[RouterA-GigabitEthernet0/0/2] quit 


# 在 RouterA 上 配置 到 达 总 部 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 总 部 子 网 的 下 
一 跳 地 址 〈 分 支 机 构 AISP 设备 连接 RouterA 的 接口 IP 地 址 ) 为 60.1.1.2。 


[RouterA] ip route-static 60.1.3.1 32 60.1.1.2 
[RouterA] ip route-static 192.168.3.0 24 60.1.1.2 


# 在 RouterB 上 配置 接口 卫 地 址 。 


<Huawel> System-view 

[Huawei| sysname RouterB 

[RouterB| interface gigabitethernet 0/0/1 
[RouterB-GigabitEthernet0/0/1] ip address 60.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet0/0/1] quit 

[RouterB | interface gigabitethernet 0/0/2 
[RouterB-GigabitEthernet0/0/2|] ip address 192.168.1.2 255.255.255.0 
[RouterB-GigabitEthermmet0/0/2] quit 
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# 在 RouterB 上 配置 到 总 部 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 总 部 子 网 的 下 一 
跳 地 址 (分支 机 构 B ISP 设备 连接 RouterB 的 接口 耻 地址) 为 60.1.2.2。 


[RouterB] ip route-static 60.1.3.1 32 60.1.2.2 
[RouterB] ip route-static 192.168.3.0 24 60.1.2.2 


# 在 RouterC 上 配置 接口 IP 地址 。 


<Huawel> system-view 

[Huawel]l sysname RouterC 

[RouterC] interface gigabitethernet 0/0/1 
[RouterC-GigabitEthernet0/0/1| ip address 60.1.3.1 255.255.255.0 
[RouterC-GigabitEthernet0/0/1] quit 

[RouterC] interface gigabitethernet 0/0/2 
[RouterC-GigabitEthernet0/0/2] ip address 192.168.1.2 255.255.255.0 
[RouterC-GigabitEthernet0/0/2] quit 


# 在 RouterC 上 配置 到 达 两 分 支 机 构 公 网 、 私 网 的 静态 路 由 ， 此 处 假设 到 达 分 支 机 
构 A 和 分 文 机构 B 的 下 一 跳 地 址 均 为 60.1.3.2。 


[RouterC] ip route-static 60.1.1.1 32 60.1.3.2”#--- 到 达 分 支 A RouterA 公 网 接口 的 主机 静态 路 由 
[RouterC] ip route-static 60.1.2.1 32 60.1.3.2”#--- 到 达 分 支 B RouterB 公 网 接口 的 主机 静态 路 由 
[RouterC] ip route-static 192.168.1.0 24 60.1.3.2 #--- 到 达 分 支 A 私 网 的 静态 路 由 

[RouterC] ip route-static 192.168.2.0 24 60.1.3.2 “”# -- 到 达 分 支 B 私 网 的 静态 路 由 


(2) 分 别 在 RouterA、RouterB 和 RouterC 上 配置 ACL， 定 义 各 目 要 保护 的 数据 流 。 这 里 
需要 定义 的 是 分 支 机 构 子 网 与 公司 总 部 子 网 互相 访问 的 他 数据 流 ， 一 般 要 求 采用 镜像 配置 。 

# 在 RouterA 上 配置 ACL,， 定义 由 分 文 机 构 A 子 网 (192.168.1.0/24) 到 达 公 司 总 部 
子 网 (192.168.3.0/24) 的 数据 流 。 


[RouterA] acl number 3002 
[RouterA-acl-adv-3002] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 
[RouterA-acl-adv-3002] quit 


# 在 RouterB 上 配置 ACL， 定 义 由 分 支 机 构 B 子 网 (192.168.2.0/24) 到 达 公 司 总 部 
子 网 (192.168.3.0/24) 的 数据 流 。 


[RouterB] acl number 3002 
[RouterB-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 
[RouterB-acl-adv-3002] quit 


# 在 RouterC 上 配置 ACL， 定 义 由 公司 总 部 子 网 (192.168.3.0/24) 分 别 到 达 分 支 机 
构 A 子 网 (192.168.1.0/24) 和 分 支 机 构 B 子 网 (192.168.2.0/24) 的 数据 流 。 


[RouterC] acl number 3002 

[RouterC-acl-adv-3002] rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
[RouterC-acl-adv-3002] quit 

[RouterC] acl number 3003 

[RouterC-acl-adv-3003] rule permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
[RouterC-acl-adv-3003] quit 


(3) 分 别 在 RouterA、RouterB 和 RouterC 上 创建 IPSec 安全 提议 。 

本 示例 中 各 网 关上 配置 的 IPSec 安全 提议 只 需 创 建安 全 提议 ， 里 面 的 参数 也 直接 采 
用 缺 省 值 , 即 安全 协议 为 ESP 协议 , 采用 DES 作为 加 密 算法 、 采 用 MD5 作为 认证 算法 ， 
采用 隧道 模式 。 





1 “IPSec 安全 提议 仅 以 名 称 进行 标识 ， 所 以 一 个 IPSec 安全 提议 仅 包 括 一 组 安全 参 
数 配 置 。 因 为 本 示例 中 各 网 关 设 备 上 的 安全 提议 配置 均 采 用 缺 省 值 ， 所 以 各 网 关上 所 创 
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. IPsec 安全 提议 名 称 均 为 prol。 如 果 公 司 总 部 网 关 与 两 分 支 机 构 要 采用 不 同 的 IPSec 

全 提议 配置 ， 则 要 在 两 分 支 机 构 网 关上 创建 不 同 配置 的 IPSec 安全 提议 (名称 可 以 一 
村 也 可 以 不 一 样 ), 但 在 公司 总 部 网 关上 要 创建 两 个 名 称 和 配置 均 不 同 的 IPSec 安全 提 
议 ， 分 别 被 与 两 个 不 同 分 支 机 构建 立 IPSec 隧道 时 所 用 的 不 同安 全 策略 所 引用 。 


[RouterA] ipsec proposal prol 
[RouterA-ipsec-proposal-prol] quit 


[RouterB] ipsec proposal prol 
[RouterB-ipsec-proposal-prol] quit 


[RouterC] ipsec proposal prol 
[RouterC-ipsec-proposal-prol| quit 


此 时 分 别 在 RouterA、RouterB 和 RouterC 上 执行 display ipsec proposal 操作 ， 会 显 
示 所 配置 的 信息 ， 以 下 在 RouterA 上 执行 该 命令 的 输出 ， 都 是 缺 省 配置 。 


[RouterA] display ipsec proposal name prol 


IPSec proposal name: prol 
Encapsulation mode: Tunnel 
Transform : esp-new 
ESP protocol : Authentication MD5-HMAC-96 
Encryption DES 


(4) 分 别 在 RouterA、RouterB 和 RouterC 上 配置 [KE 对 等 体 。 

因为 都 采用 了 缺 省 的 IKE 安全 提议 配置 ， 且 在 认证 方法 上 采用 了 预 共享 密 钥 认证 方 
法 ， 所 以 需要 在 RouterA 与 RouterC， 以 及 RouterB 与 RouterC 建立 IPSec 隧道 两 疹 的 各 
组 对 等 体 上 分 别 配 置 相同 的 共享 密 钥 。 

现 假 设 RouterA 与 RouterC 的 IPSec 隧道 两 端 对 等 体 上 配置 的 共享 密 钥 为 huawei， 
RouterB 与 RouterC 的 IPSec 隧道 两 尊 对 等 体 上 配置 的 共 圣 密 钥 为 lycb_gz。 

因为 本 示例 中 各 网 关 均 采用 ISAKMP 方式 创建 安全 策略 , 所 以 各 网 关 均 需 配 置 对 应 
IP 地 址 , 且 假 设 本 示例 采用 下 Ev2 版 本 , 其 他 可 选 配置 均 采用 缺 省 配置 .总 部 网 基 了 RouterC 
会 为 两 分 文 机 构 创 建 名 称 不 同 的 对 等 体 〈 两 分 支 机 构 上 的 对 等 体 名 称 可 以 相同 ， 也 可 以 
不 同 ) ， 最 终 在 总 部 网 关 创 建 一 个 安全 策略 组 ( 即 本 示例 中 要 包括 两 个 安全 策略 )。 

现 假设 在 RouterA 上 创建 的 对 等 体 名 称 为 rutl1， 指 癌 RouterC; 在 RouterA 上 创建 的 
对 等 体 名 称 为 rut2, 也 指向 RouterC; 而 在 RouterC 上 创建 两 个 对 等 体 , 名称 分 别 为 rut1、 
rut2 (也 可 以 是 其 他 名 称 )， 分 别 指 问 RouterA 和 RouterB。 

# 在 RouterA 上 配置 IKE 对 等 体 。 


[RouterA | ike peer rutl v2 

[RouterA-ike-peer-rut1] pre-shared-key simple huawei #--- 指 定 与 RouterC 建立 IPSec 隧道 的 共享 密 钥 为 huawei 
[RouterA-ike-peer-rut1] remote-address 60.1.3.1 #-- 指 定 IPSec 隧道 对 端 为 RouterC 

[RouterA-ike-peer-rutl |] quit 

# 在 RouterB 上 配置 IKE 对 等 体 。 

[RouterB | ike peer rut2 v2 

[RouterB-ike-peer-rut21 pre-shared-key i lycb gz #--- 指 定 与 RouterC 建立 IPSec 隧道 的 共享 密 钥 为 lycb gz 
[RouterB-ike-peer-rut2] remote-address 60.1.3.1 ”#--- 指 定 IPSec 隧道 对 端 为 RouterC 

[RouterB-ike-peer-rut2] quit 


# 在 RouterC 上 配置 IKE 对 等 体 。 


[RouterC | ike peer rutl v2 
[RouterC-ike-peer-rut1] pre-shared-key simple huawei #--- 指 定 与 RouterA 建立 IPSec 隧道 的 共享 密 钥 为 huawei 
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[RouterC-ike-peer-rut1] remote-address 60.1.1.1 #--- 指 定 IPSec 隧道 对 端 为 RouterA 

[RouterC-ike-peer-rut1] quit 

[RouterC] ike peer rut2 v2 

[RouterC-ike-peer-rut2] pre-shared-key simple lycb_gz #--- 指 定 与 RouterB 建立 IPSec 隧道 的 共享 密 钥 为 lycb_gz 
[RouterC-ike-peer-rut2] remote-address 60.1.2.1 ”#--- 指 定 IPSec 隧道 对 端 为 RouterB 

pp ike-peer-rut2] quit 


此 时 分 别 在 RouterA、RouterB 和 RouterC 上 执行 display ike peer 操作 , 会 显示 所 配 
置 的 对 等 体 信 息 ， 以 下 是 在 RouterA 上 执行 该 命令 后 的 输出 信息 。 


[RouterA] display ike peer name rut] verbose 
Peer name : rutl 
Pre-shared-key : huawel 
Local ID type ‘Ip 
DPD : Disable 
DPD mode : Periodic 
DPD idle time :30 
DPD retransmit interval: 15 
DPD retry limit :2 
Peer ID type 
Host name ， 

Peer IP address :60.13.1 
VPN name 

Local IP address 

Local name 

Remote name : 
NAT-traversal : Disable 


Configured IKE version : Version two 
PKI realm “NULL 
Inband OCSP : Disable 


(5) 分 别 在 分 文 机 构 网 关 RouterA 和 RouterB 上 以 ISAKMP 方式 创建 安全 策略 (在 
不 同 网 关上 创建 的 安全 策略 名 称 和 序号 可 以 相同 , 也 可 以 不 同 ), 在 总 部 网 天 RouterC 上 
以 ISAKMP 方式 创建 安全 策略 组 ， 引 用 前 面 已 配置 的 IPSec 安全 提议 、 用 于 定义 需要 保 
护 的 数据 流 的 ACL 以 及 对 等 体 。 

# 在 RouterA 上 配置 安全 策略 。 


[RouterA] ipsec policy policyl 10 isakmp 
[RouterA-ipsec-policy-isakmp-policyl-10| ike-peer rutl 
[RouterA-ipsec-policy-isakmp-pollicy1-10] proposal prol 
[RouterA-ipsec-policy-isakmp-pollcy1-10] security acl 3002 
[RouterA-ipsec-policy-isakmp-policyl1-10|] quit 


# 在 RouterB 上 配置 安全 策略 。 


[RouterB] ipsec policy policyl 10 isakmp 
[RouterB-ipsec-policy-lsakmp-policy1-10] ike-peer rut2 
[RouterB-ipsec-policy-isakmp-policyl-10] proposal prol 
[RouterB-ipsec-policy-isakmp-policy1-10] security acl 3002 
[RouterB-ipsec-policy-isakmp-policyl-10] quit 


# 在 RouterC 上 配置 安全 策略 组 。 


[RouterC] ipsec policy policyl 10 isakmp 
[RouterC-ipsec-policy-isakmp-pollicy1-10] ike-peer rutl 
[RouterC-ipsec-policy-lsakmp-policy1-10] proposal prol 
[RouterC-ipsec-policy-lsakmp-policy1-10] security acl 3002 
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[RouterC-ipsec-policy-isakmp-policy1-10] quit 

[RouterC | ipsec policy policyl 11 isakmp 
[RouterC-ipsec-policy-isakmp-policy1-11] ike-peer rut2 
[RouterC-ipsec-policy-isakmp-policy1-11] proposal prol 
[RouterC-ipsec-policy-isakmp-policy1-11] security acl 3003 
[RouterC-ipsec-policy-isakmp-policy1-11] quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec policy 操作 ， 会 显示 所 配置 的 
安全 策略 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 信息 。 


[RouterA | display ipsec policy name policyl 





IPSec policy group: "policy1" 
Using interface: 


Sequence number: 10 

Security data flow: 3002 

Peer name :utl 

Perfect forward secrecy: None 

Proposal name: prol 

IPSec SA local duration(time based): 3600 seconds 
IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Disable 


此 时 在 RouterC 上 执行 .display ipsec policy 会 显示 所 配置 的 安全 策略 信息 。 
[RouterC] display ipsec policy name policy1l 

IPSec policy group: "policyl" 

Using interface: 


Sequence number: 10 

Security data flow: 3002 

Peer name “Tt! 

Perfect forward secrecy: None 

Proposal name: prol 

IPSec SA local duration(time based): 3600 seconds 
IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Disable 


Sequence number: 11 

Security data flow: 3003 

Peer name :tut 

Perfect forward secrecy: None 

Proposal name: prol 

lPSec SA local duration(time based): 3600 seconds 
IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Disable 
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(6) 分 别 在 RouterA、RouterB 和 RouterC 的 公 网 接口 上 应 用 各 自 的 安全 策略 或 安全 
策略 组 ， 使 通过 这 些 接口 发 送 的 兴趣 流 被 IPSec 保护 。 
# 在 RouterA 的 公 网 接口 上 引用 安全 策略 组 。 


[RouterA | interface gigabitethernet 0/0/1 
[RouterA-GigabitEthernet0/0/1 | ipsec policy policy1l 
[RouterA-GigabitEthernet0/0/1] quit 


# 在 RouterB 的 公 网 接口 上 引用 安全 策略 组 。 


[RouterB] interface gigabitethernet 0/0/1 
[RouterB-GigabitEthernet0/0/1] ipsec policy policyl 
[RouterB-GigabitEthernet0/0/1] quit 


# 在 RouterC 的 公 网 接口 上 引用 安全 策略 组 。 


[RouterC] interface gigabitethernet 0/0/1 
[RouterC-GigabitEthernet0/0/1 | ipsec policy policy1l 
[RouterC-GigabitEthernet0/0/1] quit 


3， 配置 结果 验证 

配置 成 功 后 ， 分 别 在 两 分 支 机 构 中 的 主机 PC A 和 主机 PC B 执行 ping 操作 ， 发 现 
可 以 ping 通 位 于 总 部 私 网 中 的 主机 PC C， 并 且 它 们 之 间 的 数据 传输 将 被 加 密 

分 别 在 RouterA 和 RouterB 上 执行 display ike sa v2 操作 ， 会 显示 在 这 些 设备 上 协商 
生成 的 SA 信息 ， 这 表示 所 做 的 IKE 配置 是 正确 的 。 

以 下 是 在 RouterA 上 执行 该 命令 的 输出 ， 其 显示 了 在 IKE 的 两 个 阶段 所 生成 的 IKE 
SA 和 IPSec SA。 和 输出 信息 中 的 各 字段 说 明 参 见 3.2.1 节 所 介绍 的 示例 中 的 对 应 说 明 。 


[RouterA] display ike sa v2 


Conn-ID Peer VPN Flag(s) Phase 

24366 60.1.3.1 0 RDIST 2 #--- 这 是 建立 的 IPSec SA 信息 

24274 60131 0 RDIST 1 #-- 这 是 建立 的 IKE SA 信息 
Flag Description: 


RD--READY SI--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
# 在 RouterC 上 执行 display ike sa v2 操作 ,结果 如 下 ,其 同样 显示 了 在 分 别 与 两 分 
文 机 构建 立 IPSec 隧道 时 ， 在 IKE 的 两 个 阶段 所 生成 的 IKE SA 和 IPSec SA。 


[RouterC] display ike sa v2 
Conn-ID Peer VPN Flag(s) Phase 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


0 2  #--- 这 是 建立 的 IPSec SA 信息 
0 RD 1 #-- 这 是 建立 的 IKE SA 信息 

937 . 60.111 0 RD 2 ” #--- 这 是 建立 的 IPSec SA 信息 
0 RD 1  #-- 这 是 建立 的 IKE SA 信息 


Flag Description: 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 


# 此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa， 会 显示 所 配置 的 IPSec SA 
信息 。 以 下 是 在 RouterA 执行 该 命令 的 输出 , 其 显示 了 本 配置 的 所 有 相关 IPSec SA 信息 ， 
包括 安全 策略 配置 、IPSec 隧道 建立 信息 、 出 /入 ESP SA 信息 。 


[RouterA | display ipsec sa 





Interface: GigabitEthernet0/0/1 
Path MTU: 1500 
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bss ebb 


IPSec policy name: "policy1" 
Sequence number :10 


Acl Group : 3002 
Acl rule “SS 
Mode : ISAKMP 


Connection ID :24366 #--- 这 是 最 终 建 立 的 IPSes SA 标识 符 ， 也 表明 IPSec 隧道 建立 成 功 


Encapsulation mode: Tunnel 


Tunnel local “60.111 
Tunnel remote : 00:1.3.1 
Flow source : 192.168.1.0/255.255.255.0 0/0 


Flow destination : 192.168.3.0/255.255.255.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SASs] 
SPI: 3872459013 (0xe6d10905) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/3554 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 4059702885 (0xflfa2665) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3554 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


# 此 时 在 RouterC 上 执行 display ipsec sa 操作 ， 会 显示 所 配置 的 IPSec SA 信息 。 
[RouterC] display ipsec sa 


Interface: GigabitEthernet0/0/1 
Path MTU: 1500 


IPSec policy name: "policy1" 
Sequence number :10 


Acl Group : 3002 
Acl rule 3 
Mode : ISAKMP 
Connection ID : 961 
Encapsulation mode: Tunnel 
Tunnel local 60.1.3.1 
Tunnel remote 6060. 
Flow source : 192.168.3.0/255.255.255.0 0/0 


Flow destination :192.168.1.0/255.255.255.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SASs] 
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SPI: 4059702885 (0xflfa26635) 

Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3591 
Max sent sequence-number: 0 

UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 3872459013 (Oxe6d10905) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3591 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


IPSec policy name: "policy1l" 
Sequence number :11 


Acl Group : 3003 
Acl rule :5 
Mode : ISAKMP 
Connection ID : 937 
Encapsulation mode: Tunnel 
Tunnel local :60.13.! 
Tunnel remote “60.12.1 
Flow source : 192.168.3.0/255.255.255.0 0/0 


Flow destination  : 192.168.2.0/255.255.255.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SAs|] 
SPI: 4114116139 (Oxf5386e2b) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3590 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI 2107152307 (Ox7d9897b3) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/3590 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


3.2.4 ”分支 采 用 多 链 路 共 主 功能 与 总 部 建立 IPSec 隧道 配置 示例 


如 图 3-7 所 示 ，RouterA 为 公司 分 支 机 构 网 天 ，RouterB 为 公司 总 部 网 关 ， 但 分 文 机 
构 采 用 两 条 出 口 链 路 互 为 备份 或 者 负载 分 担 ， 通 过 公 网 与 总 部 建立 通信 。 分 支 机 构 子 网 
为 10.1.1.0/24， 总 部 子 网 为 10.1.2.0/24。 现 公司 希望 对 分 文 机 构 子 网 与 总 部 子 网 之 间 相 
互 访问 的 流量 进行 安全 保护 ， 并 且 若 主 备 链 路 切换 或 某 条 出 口 链 路 故障 时 ， 要 求 安 全 保 
护 不 中 断 。 但 由 于 两 个 出 接口 分 别 协商 生成 IPSec SA， 在 主 备 链 路 切换 时 ， 接 口 会 出 现 
Up/Down 状态 变化 ， 因 此 需要 重新 进行 IKE 协商 ， 从 而 导致 数据 流 的 暂时 中 断 。 为 保证 
在 进行 主 备 链 路 切换 时 安全 保护 不 中 断 ， 以 实现 IPSec SA 的 平滑 切换 , 希望 分 支 机 构 网 
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关 的 两 条 出 口 链 路 与 总 部 网 关 只 协商 一 个 共享 的 IPSec SA。 









LoopBack0 
1.1.1.1/32 
GE1/0/0 GE1/0/0 
Ss 70.1.1.1/24 60.1.1.1/24 ep 
分 支 交 关 改作 总 部 网 关 
GE3/0/0 GE2/0/0 GE3/0/0 
10.1.1.1/24 80.1.1.1/24 10.1.2.1/24 
PCA PCB 
10.1.1.2/24 10.1.2.2/24 
分 支 子 网 总 部 子 网 


图 3-7 ”分 文采 用 多 链 路 共享 功能 与 总 部 建立 IPSec 隧道 示例 的 拓扑 结构 


本 示例 AR G3 路 由 器 均 运 行 V200R008 版 本 VRP 系统 ， 采 用 IKEv1 版 本 。 

1. 基本 配置 思路 分 析 

因为 分 支 机 构 网 关 有 两 条 链 路 连接 到 Internet, 为 了 使 这 两 条 链 路 与 总 部 网 关 只 协商 
生成 一 个 IPSec， 所 以 不 能 利用 分 支 机 构 网 关 的 两 个 公 网 接口 分 别 与 总 部 网 关 配 置 对 等 
体 , 而 要 使 用 一 个 LoopBack 接口 与 总 部 网 关 建 立 IPSec 隧道 , 最 终 使 两 条 出 口 链 路 与 总 
部 网 关 只 协商 一 个 共享 疯 IPSec SA。 具 体 配 置 思路 如 下 。 

(1) 配置 各 网 关 设 备 内 /外 网 接口 的 IP 地 址 ， 以 及 分 支 机 构 公 网 、 私 网 与 总 部 公 网 、 
私 网 互 访 的 静态 路 由 。 

(2) 配置 高 级 ACL， 以 定义 分 支 机 构 子 网 与 总 部 子 网 通信 时 需要 IPSec 保护 的 数据 流 。 

(3) 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 。 

(4) 配置 IKE 安全 提议 。 

(5) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 





1 “本 示例 中 IKE 对 等 体 的 配置 , 分 支 机 构 本 端 IP 地 址 与 总 部 网 关 配 置 的 对 端 卫 地 
址 均 要 配置 为 分 支 机 构 网 关 LoopBack 接口 的 卫 地址。 

(6) 配置 安全 策略 ， 并 引用 前 面 定义 的 ACL 和 IPSec 安全 提议 ， 确 定 对 何 种 数据 流 
采取 何 种 保护 方法 。 

(7) 在 接口 上 应 用 安全 策略 组 ， 使 接口 具有 IPSec 的 保护 功能 。 其 中 在 分 文 机 构 网 
关 RouterA 上 的 安全 策略 组 在 应 用 前 需要 通过 ipsec policy policy-name shared local- 
interface loopback interface-number 命 令 设置 为 多 链 路 共享 (具体 参见 3.1.5 节 相 关内 容 )， 
然后 在 RouterA 的 两 个 公 网 接口 上 分 别 应 用 安全 策略 组 。 

2. 具体 配置 步骤 

(1) 分 别 在 RouterA 和 RouterB 上 配置 各 接口 (包括 RouterA 上 的 Loopback 接口 ) 
的 I 了 P 地 址 和 到 对 端 各 公 网 、 私 网 的 静态 路 由 。 

# 在 RouterA 上 配置 接口 卫 地 址 。 


<Huawel> System-view 
[Huawel] sysname RouterA 
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[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0| ip address 70.1.1.1 255.255.255.0 
[RouterA-GigabitEtheret1/0/0] quit 

[RouterA] interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0] ip address 80.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 

[RouterA | interface gigabitethernet 3/0/0 
[RouterA-GigabitEthernet3/0/0] ip address 10.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet3/0/0| quit 

[RouterA] interface loopback 0 

[RouterA-LoopBack0] ip address 1.1.1.1 255.255.255.255 
[RouterA-LoopBack0] quit 


# 在 RouterA 上 配置 通过 两 条 不 同 链 路 到 达 对 问 公 网 、 私 网 的 静态 路 由 《优先 级 要 
配置 的 不 同 ， 以 实现 主 备 备份 )， 此 处 假设 RouterA 的 两 个 出 接口 到 对 端的 下 一 跳 地 址 分 


别 为 70.1.1.2 和 80.1.1.2。 


[RouterA] ip route-static 10.1.2.0 24 70.1.1.2 preference 10 #--- 配 置 从 GE1/0/0 接口 对 应 链 路 到 达 总 部 私 网 的 静态 路 由 
[RouterA] ip route-static 10.1.2.0 24 80.1.1.2 preference 20 #-- 配 置 从 GE2/0/0 接口 对 应 链 路 到 达 总 部 私 网 的 静态 路 由 
[RouterA] ip route-static 60.1.1.1 32 70.1.1.2 preference 10 #-- 配 置 从 GELO/ 接口 对 应 链 路 到 达 总 部 公 网 的 静态 路 由 
[RouterA] ip route-static 60.1.1.1 32 80.1.1.2 preference 20 #--- 配 置 从 GE2/0/0 接口 对 应 链 路 到 达 总 部 公 网 的 静态 路 由 


# 在 RouterB 上 配置 接口 IP 地 址 。 


<Huawel> System-view 

[Huawel]l sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0| ip address 60.1.1.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 3/0/0 
[RouterB-GlgabitEthernet3/0/0] ip address 10.1.1.1 255.255.255.0 
[RouterB-GigabitEthernet3/0/0] quit 


# 在 RouterB 上 配置 到 达 分 文 机 构 各 公 网 、 私 网 、Loopback0 接口 的 静态 路 由 ， 此 
处 假设 RouterB 到 对 问 的 下 一 跳 地 址 为 60.1.1.2。 


[RouterB] ip route-static 1.1.1.1 32 60.1.1.2 #-- 到 达 Loopback0 接口 的 静态 路 由 
[RouterB] ip route-static 10.1.1.0 24 60.1.1.2 #--- 到 达 分 支 机 构 私 网 的 静态 路 由 
[RouterB] ip route-static 70.1.1.1 32 0.1.1.2”#--- 到 达 RouterA GE1/0/0 接口 的 静态 路 由 
[RouterB] ip route-static 80.1.1.1 32 60.1.1.2 ” #--- 到 达 RouterA GE2/0/0 接口 的 静态 路 由 


(2) 分 别 在 RouterA 和 RouterB 上 配置 ACL， 定 义 各 自 要 保护 的 数据 流 。 

# 在 RouterA 上 配置 ACL, 定义 由 总 部 子 网 10.1.1.0/24 到 达 分 支 机 构 子 网 10.1.2.0/24 
的 数据 流 。 

[RouterA] acl number 3101 


[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
[RouterA-acl-adv-3101] quit 


# 在 RouterB 上 配置 ACL, 定义 由 分 支 机 构 子 网 10.1.2.0/24 到 达 总 部 子 网 10.1.1.0/24 
的 数据 流 。 
[RouterB] acl number 3101 


[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
[RouterB-acl-adv-3101] quit 
/> 


(3) 分 别 在 RouterA 和 RouterB 上 创建 IPSecc 衬 爹 提议 《假设 名 称 均 为 prop， 也 可 
以 不 同 )， 使 用 ESP 安全 协议 ， 认 证 算法 为 SHA2- 256， 加 密 算 法 为 AES-128。 


[RouterA] ipsec proposal prop 






[RouterA-lpsec-proposal-prop] esp authentication-algorithm sha2-256 
[RouterA-ipsec-proposal-prop| esp encryption-algorithm aes-128 
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[RouterA-ipsec-proposal-prop| quit 


[RouterB| ipsec proposal prop 

[RouterB-ipsec-proposal-prop| esp authentication-algorithm sha2-256 

[RouterB-ipsec-proposal-prop] esp encryption-algorithm aes-128 

[RouterB-ipsec-proposal-prop| quit 

(4) 分 别 在 RouterA 和 RouterB 上 创建 IKE 安全 提议 (序号 均 为 5， 也 可 以 不 同 )， 
认证 算法 为 SHA2-256， 加 密 算法 为 AES-128，DH 为 group14。 

[RouterA] ike proposal 5 

[RouterA-ike-proposal-5] authentication-algorithm sha2-256 

[RouterA-ike-proposal-S] encryption-algorithm aes-128 

[RouterA-ike-proposal-5] dh group1l4 

[RouterA-ike-proposal-3] quit 


[RouterB] ike proposal 5 

[RouterB-ike-proposal-5] authentication-algorithm sha2-256 
[RouterB-ike-proposal-5] encryption-algorithm aes-128 
[RouterB-ike-proposal-5] dh groupl4 
[RouterB-ike-proposal-5] quit 


(5) 分 别 在 RouterA 和 RouterB 上 配置 下 了 对 等 体 〈 此 处 名 称 均 为 rt， 也 可 以 不 同 )， 
假设 采用 下 Ev2 版 本 。 因 为 IKE 提议 中 的 认证 方法 采用 缺 省 值 ， 所 以 采用 的 是 预 共 享 密 钥 认 
证 方法 ， 需 要 配置 预 共享 密 钥 (假设 为 huawei， 两 端的 配置 必须 一 致 )。 另 外 ， 在 总 部 网 关 
RouterB 上 配置 的 “对 端正 地 址 ”必须 是 分 支 机 构 网 关 RouterA 上 的 Loopback0 接口 全 地 址 。 

# 在 RouterA 上 配置 IKE 对 等 体 ， 并 引用 前 面 创建 的 IKE 安全 提议 ,配置 预 共享 密 
钥 和 对 端 IP 地 址 。 


[RouterA | ike peer rut 

[RouterA-ike-peer-rut| undo version 2 
[RouterA-ike-peer-rut] ike-proposal 5 
[RouterA-ike-peer-rut] pre-shared-key simple huawei 
[RouterA-lke-peer-rut] remote-address 60.1.1.1 
[RouterA-ike-peer-rut] quit 


# 在 RouterB 上 配置 IKE 对 等 体 ， 并 引用 前 面 创 建 的 IKE 安全 提议 ， 配 置 预 共 享 密 
钥 和 对 端 下 地 址 。 


[RouterB] ike peer rut 

[RouterB-ike-peer-rut| undo version 2 

[RouterB-ike-peer-rut| ike-proposal 5 

[RouterB-ike-peer-rut] pre-shared-key simple huawei 

[RouterB-ike-peer-rut] remote-address 1.1.1.1 #-- 为 分 支 机 构 Loopback0 接口 的 IP 地 址 
[RouterB-ike-peer-rut] quit 


(6) 分 别 在 RouterA 和 RouterB 上 创建 安全 策略 ，3 引 用 前 面 创建 的 IPSec 安全 提议 、 
IKE 对 等 体 和 用 于 定义 需要 保护 的 数据 流 的 ACL。 
# 在 RouterA 上 配置 安全 策略 。 


[RouterA | ipsec policy policyl 10 isakmp 
[RouterA-ipsec-policy-lisakmp-pollicy1-10] ike-peer rut 
[RouterA-ipsec-policy-isakmp-policy1-10] proposal prop 
[RouterA-ipsec-policy-isakmp-policy1-10] security acl 3101 
[RouterA-ipsec-policy-isakmp-policy1-10] quit 


# 在 RouterB 上 配置 安全 策略 。 


[RouterB] ipsec policy policyl 10 isakmp 
[RouterB-ipsec-policy-isakmp-policyl-10] ike-peer rut 
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[RouterB-ipsec-policy-isakmp-policy1-10] proposal prop 
[RouterB-ipsec-policy-isakmp-policy1-10] security acl 3101 
[RouterB-ipsec-policy-isakmp-policy1-10] quit 


(7) 分 别 在 RouterA 和 RouterB 的 接口 上 应 用 各 自 的 安全 策略 组 ， 使 通过 这 些 接口 
癌 外 发 送 的 兴趣 流 能 被 IPSec 保护 。 

# 在 RouterA 上 配置 多 链 路 共享 功能 ， 并 且 分 别 在 两 个 公 网 接口 上 引用 前 面 创建 的 
安全 素 上 略 组 。 

[RouterA] ipsee policy policy1 shared local-interface loopback 0 #--- 配 置 安全 和 货 略 组 policy1 对 应 的 人 PSec 隧道 为 多 链 
路 共 剖 ~ 

[RouterA | interface gigabitethernet 1/0/0 

[RouterA-GigabitEthernet1/0/0] ipsec policy policy!l 

[RouterA-GigabitEthernet1/0/0] quit 

[RouterA | interface gigabitethernet 2/0/0 


[RouterA-GigabitEthernet2/0/0] ipsec policy policy1l 
[RouterA-GigabitEthernet2/0/0] quit 


# 在 RouterB 的 接口 上 引用 安全 策略 组 。 


[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthemet1/0/0] ipsec policy policy1 
[RouterB-GigabitEthernet1/0/0|] quit 


3. 配置 结 采 验证 

配置 成 功 后 ， 在 分 文 机 构 子 网 的 主机 PC A 执行 ping 操作 可 以 ping 通 位 于 总 部 子 网 
的 主机 PC B， 并 且 它 们 之 间 的 数据 传输 将 被 加 密 ， 执 行 命 令 display ipsec statistics esp 
可 以 得 看 数据 包 的 统计 信息 。 

# 在 RouterA 上 执行 display ike sa 操作 ， 会 显示 在 RouterA 上 协商 生成 的 IKE SA 
信息 ， 如 果 见 到 了 第 2 阶段 的 IPSec SA 信息 ， 则 表明 IPSec 隧道 建立 成 功 了 。 


[RouterA | display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
1I6 6011.] 0 RDIST v1:2 
14 60.1.1.1 0 RDIST V1:1 


Number of SA entries :2 
Number of SA entries of all cpu : 2 


Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRTI--HEARTBEAT LKG--LAST KNOWN GOOD SEQNO. BCK--BACKED UP 
M--ACTIVE SS--STANDBY A--ALONE NEG--NEGOTIATING 


# 此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa 操作 ， 会 显示 所 配置 的 
IPSec SA 信息 ， 以 下 是 在 RouterA 上 执行 本 命令 后 的 输出 信息 。 


[RouterA | display ipsec sa 





me 


Shared interface: LoopBack0 
Interface: GigabitEthernet1/0/0 
GigabitEthernet2/0/0 


二 -二 一 一 一 一 一 一 一 一 一 一 一 一 -一 


IPSec policy name: "policyl" 
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Sequence number :10 


Acl Group :3101 
Acl rule “3 
Mode : ISAK MP 


Connection ID :16 #--- 这 是 最 终 建立 的 IPSes SA 标识 符 ， 也 表明 IPSec 隧道 建立 成 功 


Encapsulation mode: Tunnel 


Tunnel local :ill 
Tunnel remote "60.11.1 
Flow source * 10.1.1.0/255.255.255.0 0/0 


Flow destination :10.1.2.0/255.255.255.0 0/0 
Qos pre-classify :Disable 


[Outbound ESP SAs| 
SPI: 3694855398 (Oxdc3b04e6) 
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256 
SA remaining key duration (bytes/sec): 1887436800/3595 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 3180691667 (0xbd9580d3 ) 
Proposal: ESP-ENCRYPT-AES-128 ESP-AUTH-SHA2-256 
SA remaining key duration (bytes/sec): 1887436800/3595 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


3.2.5 ”建立 NAT 穿越 功能 的 IPSec 隧道 配置 示例 


如 图 3-8 所 示 ， 在 分 广 机 构 端 ， 公 网 网 关 不 是 RouterA， 而 是 一 个 NAT 设备 ， 即 分 
支 机 构 通过 NAT 网 关 接 入 Intermet。 现 在 希望 分 文 机 构 所 连接 的 内 部 子 网 能 与 公司 总 部 
所 连接 的 内 部 子 网 进行 安全 通信 。 分支 机 构 RouterA 连接 的 内 部 子 网 为 2.0.0.2/24， 公 司 
总 部 RouterB 所 连接 的 内 部 子 网 为 1.0.0.2/24。 | 


GE1/0/0 GE1/0/0 
192.168.0.2/24 ”NAT 网 关 1 2.0.1/24 


Router A 人 Internet 5 Router B 


GE2/0/0 
10.2.0.1/24 










GE2/0/0 
10.1.0.1/24 






10.1.0.2/24 


Router A 子 网 Router B 子 网 


3-8 建立 NAT 穿越 功能 的 IPSec 隧道 示例 的 拓扑 结构 


J 及 本 示例 AR G3 路 由 器 均 运 行 V200R005 版 本 VRP 系统 ， 采 用 IKEv1 版 本 。 
.基本 配置 思路 分 析 
ee 个 特殊 性 ， 即 分 支 机 构 与 总 部 的 通信 不 是 直接 进行 的 ， 而 是 经 过 一 个 
NAT 设备 进行 地 址 转换 ， 此 时 需要 配置 NAT 穿越 功能 才能 建立 IPSec 隧道 . 因此 本 示例 
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在 配置 时 要 注意 以 下 几 个 方面 。 

。 本 章 前 面 已 进行 了 分 析 ，AH 协议 的 报 文 不 能 进行 NAT 穿越 ， 所 以 在 IPS 安全 提 
议 中 只 能 选择 ESP 安全 协议 。 

。 因为 分 支 机 构 部 署 了 NAT 网 关 ， 分 支 机 构 发 送 的 报 文 在 经 过 NAT 网 关 时 ， 源 下 
地 址 会 发 生变 化 ， 这 其 实 与 3.2.1 节 分 支 机 构 网 关 IP 地 址 无 法 确定 的 情形 类 似 ， 所 以 本 
示例 分 支 机 构 端 总 是 作为 发 起 方 ， 采 用 ISAKMP 方式 建立 安全 策略 ， 而 总 部 网 关 端 总 是 
作为 响应 方 ， 采 用 策略 模板 方式 来 创建 安 物 策略 。 在 总 部 网 关 端 也 可 以 不 配置 用 于 定义 
需要 保护 的 数据 流 的 ACL。 

。 在 IKE 对 等 体 配 置 方面 ， 同 样 由 于 分 支 机 构 部 署 在 NAT 网 关 后 面 ， 导 致 其 发 送 
的 数据 报 文 源 IP 地 址 发 生 了 改变 ， 因 此 在 采用 预 共享 密 钥 认证 方式 下 ， 不 能 再 以 卫 地 
址 来 作为 身份 标识 了 ， 而 要 以 名 称 (name) 或 域名 (dn) 方式 进行 标识 ， 还 可 采用 数字 
签名 或 数字 信封 认证 方式 的 证 书 来 进行 身份 验证 。 

根据 以 上 介绍 ， 可 以 得 出 本 示例 的 具体 配置 思路 如 下 。 

(1) 配置 RouterA 和 RouterB 内 /外 网 的 接口 IP 地 址 ， 以 及 到 达 对 端 〈 分 文 机 构 
RouterA 的 对 端 是 NAT 网 关 ， 总 部 RouterB 的 对 端 是 分 文 机 构 RouterA 所 连接 的 两 个 子 
网 ) 的 静态 路 由 。 

(2) 在 RouterA 配置 ACL， 以 定义 到 达 总 部 子 网 需要 IPSec 保护 的 数据 流 。 在 总 部 
RouterB 可 不 配置 ， 直 接 采 用 RouterA 上 的 镜像 配置 。 

(3) 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 ， 但 安全 协议 只 能 是 ESP。 

(4) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 

如 果 采 用 缺 省 的 预 共享 密 钥 认证 方法 ， 两 端 均 要 采用 名 称 作为 ID 类 型 ， 而 在 分 文 
机 构 端 还 要 同时 指出 对 端的 卫 地 址 。 另 外 ， 当 ID 类 型 为 名 称 时 只 能 选择 野蛮 模式 进行 
IKE SA 协商 。 

(5) 分 别 在 RouterA 和 RouterB 上 配置 安全 策略 ， 确 定 对 何 种 数据 流 采 取 何 种 保护 
方法 。 其 中 RouterB 采用 策略 模板 方式 创建 安全 策略 ， 固 定 作 为 啊 应 方 ， 因 为 此 时 可 以 
看 作 是 分 支 机 构 网 关 的 IP 地 址 不 固定 情形 。 

(6) 在 两 端 连 接 公 网 侧 的 接口 上 应 用 以 上 创建 的 安全 策略 组 ， 使 得 从 这 些 接口 发 送 
的 兴趣 流 可 被 IPSec 保护 。 

2. 具体 配置 步骤 

(1) 配置 接口 IP 地 址 和 路 由 。 

# 在 RouterA 上 配置 接口 卫 地 址 。 


<Huawel> system-view 

[Huawei] sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ip address 192.168.0.2 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA] interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0] ip address 2.0.0.1 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 


# 在 RouterA 上 配置 到 对 端 (NAT 网 关 ) 的 缺 省 路 由 ， 此 处 假设 到 对 端 下 一 跳 地 址 
为 192.168.0.1。 
[RouterA] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 
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# 在 RouterB 上 配置 接口 IP 地 址 。 


<Huawel> System-view 

[Huawel]l sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 1.2.0.1 255.255.255.0 
[RouterB-GigablitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigablitEthernet2/0/0] ip address 1.0.0.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 


# 在 RouterB 上 配置 到 对 端 ( 分 支 机 构 RouterA 所 连接 的 两 个 子 网 ) 的 静态 路 由 ， 
此 处 假设 到 对 闯 下 一 跳 地 址 为 1.2.0.2。 

[RouterB] ip route-static 2.0.0.0 24 1.2.0.2 

[RouterB] ip route-static 192.168.0.0 24 1.2.0.2 


(2) 在 RouterA 上 配置 ACL， 定 义 由 分 文 机 构 子 网 2.0.0.0/24 到 达 总 部 子 网 1.0.0.0/24 
的 数据 流 。 因 为 总 部 网 关 采 用 策略 模板 来 创建 安全 策略 ， 所 以 总 部 网 关上 不 需要 配置 。 
[RouterA] acl number 3101 


[RouterA-acl-adv-3101] rule permit ip source 2.0.0.0 0.0.0.255 destination 1.0.0.0 0.0.0.255 
[RouterA-acl-adv-3101] quit 


(3) 分 别 在 RouterA 和 RouterB 上 创建 IPSec 安全 提议 。 因 为 缺 省 的 安全 提议 配置 
即 可 满足 本 示例 需求 ， 所 以 在 创建 安全 提议 后 可 以 直接 采用 缺 省 配置 。 


[RouterA | ipsec proposal prol 





[RouterA-ipsec-proposal-prol] quit 


[RouterB| ipsec proposal prol 
[RouterB-ipsec-proposal-prol| quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec proposal 操作 ， 会 显示 所 配置 
的 IPSec 安全 提议 配置 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA | display ipsec proposal name prol 


IPSec proposal name: prol 
Encapsulation mode: Tunnel 
Transform : Esp-new 
ESP protocol : Authentication MD5-HMAC-96 
Encryption DES 


(4) 分 别 在 RouterA 和 RouterB 上 配置 IKE 对 等 体 。 注意 ， 此 时 要 采用 名 称 作 为 ID 
类 型 ,而且 分 支 机 构 还 要 明确 指定 总 部 网 关 的 IP 地 址 。 两 端 配 置 的 IKEv1 SA 的 协商 模 
式 必须 为 野蛮 模 式 ， 启 用 NAT 穿越 功能 ， 使 得 ESP 报 文 可 以 通过 NAT 网 关 。 

# 在 RouterA 上 配置 IKE 对 等 体 。 

[RouterA] ike local-name rta ” #--- 配 置 本 端 名 称 为 rta 

[RouterA] quit > i 

[RouterA | ike peer rta v1 

[RouterA-ike-peer-rta] exchange-mode aggressive #--- 配 置 IKEv1 第 一 阶段 的 协商 模式 为 野蛮 模式 

[RouterA-ike-peer-rta] pre-shared-key simple huawei ”#--- 配 置 共 享 密 钥 为 huawei 

[RouterA-ike-peer-rta] local-id-type name #--- 配 置 对 等 体 ID 类 型 为 名 称 

[RouterB-ike-peer-rtbl remote-address 1.2.0.1 #--- 标 识 总 部 网 关 的 卫 地 址 

[RouterA-ike-peer-rta] remote-name rtb #--- 标 识 总 部 网 关 的 名 称 

[RouterA-ike-peer-rta] nat traversal #--- 启 用 NAT 穿越 功能 

[RouterA-ike-peer-rtal guit 


# 在 RouterB 上 配置 IKE 对 等 体 。 
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[RouterB] ike local-name rtb 

[RouterB] quit 

[RouterB| ike peer rtb v1 

[RouterB-ike-peer-rtb|] exchange-mode aggressive 

[RouterB-ike-peer-rtb] pre-shared-key simple huawei 

[RouterB-ike-peer-rtb] local-id-type name #--- 配 置 对 等 体 ID 类 型 为 名 称 
[RouterB-ike-peer-rtb] remote-name rta #--- 采 用 名 称 方式 指定 分 支 机 构 的 对 等 体 名 称 
[RouterB-ike-peer-rtb] nat traversal 

[RouterB-ike-peer-rtb] quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ike peer 操作 ， 会 显示 所 配置 的 指定 
IKE 对 等 体 信 息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA| display ike peer name rta verbose 


Peer name : rta 

Exchange mode : aggressive on phase 1 

Pre-shared-key : huawel 

Local ID type : Name 

DPD : Disable 

DPD mode : Periodic 

DPD idle time :30 

DPD retransmit interval: 15 

DPD retry limit :3 

Host name ， 

Peer IP address 2 

VPN name ， 

Local IP address 

Local name :ta 

Remote name :tb 

NAT-traversal : Enable 
Configured IKE version : Version one 

PKI realm : NULL 

Inband OCSP : Disable 


(5) 分别 在 RouterA 和 RouterB 上 创建 安全 策略 ， 引 用 前 面 创建 的 IKE 对 等 体 、 用 
于 定义 需要 保护 的 数据 流 的 ACL 〈 仅 分 文 机 构 端 需要 ) 和 IPSec 安全 提议 。 分 支 机 构 端 
采用 ISAKMP 方式 创建 ， 而 总 部 端 采 用 策略 模板 方式 创建 。 

# 在 RouterA 上 配置 IKE 动态 协商 方式 安全 策略 。 


[RouterA] ipsec policy policyl 10 isakmp 
[RouterA-ipsec-policy-isakmp-policy1-10] security acl 3101 
[RouterA-ipsec-policy-isakmp-pollicy1-10] ike-peer rta 
[RouterA-ipsec-policy-isakmp-policy1-10] proposal prol 
[RouterA-ipsec-policy-lsakmp-policy1-10] quit 


# 在 RouterB 上 以 策略 模板 方式 配置 IKE 动态 协商 方式 安全 策略 。 

[RouterB] ipsec policy-template templ 10 

[RouterB-ipsec-policy-templet-temp1-10|] ike-peer rta 

[RouterB-ipsec-policy-templet-temp1-10] proposal tranl 

[RouterB-ipsec-pollcy-templet-temp1-10] quit 

[RouterB] ipsec policy policyl 10 isakmp template temp1 #--- 以 引用 策略 模板 的 方式 创建 安全 策略 

此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec policy 操作 ， 会 显示 所 配置 的 


IPSec 安全 策略 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
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[RouterA] display ipsec policy name policyl 
IPSec policy group: "policyl” 
Using interface: 


Sequence number: 10 

Security data flow: 3101 

Peer name 1 

Perfect forward secrecy: None 

Proposal name: tranl 

IPSec SA local duration(time based): 3600 seconds 

IPSec SA local duration(traffic based): 1843200 kilobytes 
SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Disable 


(6) 分 别 在 RouterA 和 RouterB 连接 公 网 侧 的 接口 上 应 用 各 自 的 安全 策略 组 ， 使 接 
口 具有 IPSec 的 保护 功能 。 


[RouterA | interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ipsec policy policy! 
[RouterA-GigabitEthernet1/0/0] quit 


[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ipsec policy policy!l 
[RouterB-GigabitEthernet1/0/0] quit 


3. 配置 结果 验证 

配置 成 功 后 , 在 位 于 分 文 机 构 端 的 主机 PC A 执行 ping 操作 可 以 ping 通 主机 PC B， 
但 它们 之 间 的 数据 传输 将 被 加 密 ， 执 行 命令 display ipsec statistics esp 可 以 查看 ESP 数 
据 包 的 统计 信息 。 在 RouterA 上 执行 display ike sa 操作 ， 可 查看 RouterA 上 协商 生成 的 


IKE SA 信息 。 
[RouterA] display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
15 1.20.1 0 RDIST 2 
14 1.2:0.1 0 RDIST 1 


Flag Description: 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 


分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa 操作 ， 会 显示 所 配置 的 IPSec SA 


言 息 ， 以 RouterB 为 例 。 
[RouterB] display ipsec sa 


Interface: GigabitEthernet1/0/0 
Path MTU: 1500 








IPSec policy name: "policy1" 
Sequence number :10 
Acl Group > 
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Acl rule 0 
Mode : Template 
Connection ID :15 
Encapsulation mode: Tunnel 
Tunnel local :12.01 
Tunnel remote : 1.2.0.2 
Flow source : 1.0.0.0/255.255.255.0 0/0 


Flow destination :2.0.0.0/255.255.255.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SAS] 
SPI: 2285161551 (Ox8834cc4f) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/2907 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: Y 


[Inbound ESP SAs| 
SPI: 1660340380 (0x62f6c89c) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/2907 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: Y 


3.2.6 ”配置 PPPoE 拨号 分 支 与 总 部 建立 1PSec 隧道 示例 


如 图 3-9 所 示 ，RouterA 为 公司 分 支 机 构 网 关 ，RouterB 为 公司 总 部 网 关 ， 分支 与 总 
部 通过 公 网 建立 通信 。 分 支 机 构 子 网 为 10.1.1.0/24， 总 部 子 网 为 10.1.2.0/24。 但 在 本 示 
例 中 , 分 文 机 构 网 关 通 过 PPPoE 方式 接 入 公 网 , 位 于 ISP 的 PPPoE 服务 器 为 分 支 机 构 网 
关 分 配 IP 地 址 的 服务 器 。 


PPPoE_Server 





PPPoE_Client GE1/0/0 
Router A GE1/0/0 ; nte rn et 6.6.6.6/24 Router B 
分 支 网 关 总 部 网 关 
GE2/0/0 GE2/0/0 





10.1.1.1/24 10.1.2.1/24 


RE 
10.1.1.2/24 10.1.2.2/24 


分 支 子 网 总 部 子 网 
图 3-9 ”PPPoE 拨号 分 支 与 总 部 建立 IPSec 隧道 配置 示例 的 拓扑 结构 


现 公 司 希 望 分 文子 网 与 总 部 子 网 之 间 相 互 访问 的 流量 可 以 通过 IPSec 进行 安全 保 
护 。 但 由 于 分 文 机 构 网 关 作 为 PPPoE 客户 端 获 取 IP 地 址 ， 总 部 无 法 获取 其 卫 地 址 ， 所 
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以 总 部 网 关 只 能 啊 应 分 支 机 构 网 关 发 起 的 IPSec 协商 。 

假设 本 示例 中 AR G3 路 由 器 均 运行 V200R005 版 本 VRP 系统 ， 采 用 IKEvl 版 本 。 

1. 基本 配置 思路 分 析 

本 示例 其 实 与 3.2.2 节 介 绍 的 示例 类 似 , 都 属于 分 支 机 构 网 关 IP 地 址 不 确定 的 情形 ， 
所 以 其 配置 思路 总 体 来 说 也 类 似 。 本 示例 主要 的 特殊 性 在 于 分 支 机 构 网 关 RouterA 连接 
公 网 侧 的 接口 IP 地 址 是 通过 PPPoE 拨号 接 入 ISP 后 动态 获取 的 , 所 以 首先 要 在 RouterA 
上 配置 PPPoE 客户 端 功能 (当然 在 ISP 端 也 要 配置 相应 的 PPPoE 服务 器 功能 )。 

基于 上 上面 分 析 ， 可 得 出 本 示例 的 基本 配置 思路 如 下 。 

(1) 在 RouterA 上 配置 PPPoE 客户 端 ， 使 其 能 从 位 于 ISP 端的 PPPoE 服务 器 获取 
IP 地 址 。 

(2) 配置 RouterA 和 RouterB 各 接口 IP 地址 ， 以 及 分 文 机 构 到 达 总 部 公 网 、 私 网 ， 
总 部 到 达 分 支 机 构 私 网 的 静态 路 由 。 

(3) 配置 ACL， 以 定义 分 支 机 构 与 总 部 网 络 之 间 通 信 中 需要 由 IPSec 保护 的 数据 流 。 
但 因为 分 支 机 构 网 关 IP 地 址 不 固定 , 总 部 网 关 采 用 策略 模板 方式 来 创建 安全 策略 ， 所 以 
总 部 网 关 到 达 分 支 机 构 的 保护 数据 流 的 定义 不 用 配置 。 

(4) 在 分 文 机 构 网 关 和 总 部 网 关上 配置 所 需 的 IPSec 安全 提议 ， 即 定义 IPSec 所 和 采 
用 的 保护 方法 。 

(5) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 





本 示例 中 的 IKE 安全 提议 全 部 采用 缺 省 的 ， 故 不 需要 配置 。 


因为 本 示例 中 总 部 网 关 总 是 作为 啊 应 方 ， 采 用 策略 模板 方式 创建 安全 策略 ， 所 以 在 
总 部 网 关 RouterB 上 无 需 配 置 分 支 机 构 网 关 的 IP 地 址 。 

(6) 分 别 在 RouterA 和 RouterB 上 创建 安全 策略 ， 确 定 对 何 种 数据 流 采 取 何 种 保护 
方法 。 其 中 RouterA 采用 ISAKMP 方式 创建 安全 策略 ， 总 作为 发 起 方 ，RouterB 采用 策 
略 模板 方式 创建 安全 策略 ， 总 作为 啊 应 方 。 

(7) 在 各 网 关 的 公 网 侧 接口 〈RouterA 为 拨号 口 ) 上 应 用 安全 策略 组 ， 使 通过 这 些 
接口 发 送 的 兴趣 流 可 以 被 IPSec 保护 。 

2 具体 配置 步骤 

(1) 在 RouterA 上 配置 PPPoE 客户 端 ， 使 其 能 从 服务 器 站 获取 IP 地 址 。 因 为 有 天 
PPPoE 服务 器 的 配置 是 在 ISP 端 进行 的 ， 所 以 本 示例 中 不 做 介绍 。 





华为 AR G3 系列 路 由 器 上 具体 的 PPPOE 客户 端 和 PPPoE 服务 器 配置 方法 参见 《 华 
为 路 由 器 学 习 指 南 》 一 书 。 
# 配置 拨号 访问 组 ， 指 定 允 许 所 有 的 了 Pv4 报 文 通过 。 


<Huawel> System-view 

[Huawei| sysname RouterA 

[RouterA | dialer-rule 

[RouterA-dialer-rule] dialer-rule 1 ip permit #--- 配 置 拨号 接口 的 拨号 规则 


第 3 章 |IKE 动态 协商 方式 建立 |PSec VPN 的 配置 与 管理 173 


[RouterA-dialer-rule] quit 

# 创建 拨号 口 , 配置 拨号 口 相关 参数 。 假 设 PPPoE 拨号 账户 名 为 winda,， 密 但 为 Huawei。 
[RouterA] interface dialer 1 #--- 创 建 拨号 口 Dialerl 

[RouterA-Dialer! | link-protocol ppp 

[RouterA-Dialer1] ppp pap local-user winda password cipher Huawel 

[RouterA-Dialer1] ip address ppp-negotiate 

[RouterA-Dialer1] dialer user winda ” #--- 配 置 拨号 用 户 账户 ， 使 能 拨号 接口 的 共享 DCC 功能 

[RouterA-Dialerl] dialer bundle 1 ”#--- 配 置 拨号 接口 的 拨号 捆绑 ， 用 于 与 物理 接口 进行 捆绑 

[RouterA-Dialer1] dialer-group ] #--- 配 置 拨号 接口 的 拨号 访问 组 ， 要 与 拨 与 规则 号 一 臻 

[RouterA-Dialerl] quit 

# 在 物理 接口 下 捆绑 拨号 口 ， 建 立 PPPoE 会 话 。 

[RouterA] interface ethernet1/0/0 

[RouterA-GigabitEthernet1/0/0] pppoe-client dial-bundle-number 1 #--- 配 置物 理 接口 与 拨号 接口 的 捆绑 1 进行 绑 定 
[RouterA-GigabitEthernet1/0/0] quit 


(2) 在 RouterA 和 RouterB 上 配置 接口 IP 地 址 和 到 达 对 问 的 静态 路 由 。 
# 在 RouterA 上 配置 接口 卫 地 址 和 静态 路 由 。 


[RouterA] interface gigabitethernet 2/0/0 
[RouterA-GlgabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0 
[RouterA-GligablitEthermet2/0/0] quit 


# 配置 到 对 问 的 静态 路 由 ， 指 定 到 达 总 部 网 关 所 连接 的 公 网 、 私 网 的 下 一 跳 地 址 为 
拨号 口 Dialer1 。 


[RouterA] ip route-static 6.6.6.0 24 dialerl 
[RouterA] ip route-static 10.1.2.0 24 dialerl 


# 在 RouterB 上 配置 接口 IP 地 址 和 到 达 分 支 机 构 私 网 的 静态 路 由 , 此 处 假设 下 一 跳 
地 址 为 6.6.6.254。 


<Huawei> System-view 

[Huawei] sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 6.6.6.6 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 

[RouterB| ip route-static 10.1.1.024 6.6.6.254 


(3) 在 RouterA 上 配置 用 于 定义 需要 保护 的 数据 流 的 ACL， 即 定义 由 分 支 机 构 子 网 
10.1.1.0/24 到 达 总 部 子 网 10.1.2.0/24 的 数据 流 。 总 部 网 关 因 为 要 采用 策略 模板 方式 创建 
安全 策略 ， 故 可 不 定义 这 种 ACL 。 


[RouterA] acl number 3003 
[RouterA-acl-adv-3003] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
[RouterA-acl-adv-3003] quit 


(4) 在 RouterA 和 RouterB 上 配置 IPSec 安全 提议 ， 各 参数 取 值 均 采 用 缺 省 值 。 


[RouterA] ipsec proposal propl 
[RouterA-ipsec-proposal-prop1] quit 


[RouterB] ipsec proposal propl 
RouterB-ipsec-proposal-prop1] quit 


此 时 执行 display ipsec proposal 操作 可 以 查看 所 配置 的 IPSec 安全 提议 信息 。 以 下 
是 在 RouterA 上 执行 本 命令 的 输出 信息 。 

[RouterA] display ipsec proposal 

Number of Proposals: 1 
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IPSec proposal name: propl 
Encapsulation mode: Tunnel 
Transform : esp-new 
ESP protocol : Authentication SHA1-HMAC-96 
Encryption DES 


(5) 在 RouterA 和 RouterB 上 配置 IKE 对 等 体 。 因 为 采用 了 缺 省 的 IKE 安全 提议 配 
置 ， 采 用 的 是 预 共享 密 钥 认 证 方法 ， 所 以 在 两 端 需 要 配置 相同 的 预 共享 密 钥 。 但 因为 总 
部 网 天 和 采用 的 是 策略 模板 方式 创建 安全 策略 ， 所 以 不 需要 指定 对 端 卫 地 址 。 

[RouterA | ike peer rutl v1 

[RouterA-kke-peer-rut1] pre-shared-key simple huawel 


[RouterA-ike-peer-rutl |] remote-address 6.6.6.6 
[RouterA-ike-peer-rut1] quit 


[RouterB] ike peer rutl v1 
[RouterB-ike-peer-rutl | pre-shared-key simple huawei 
[RouterB-ike-peer-rutl | quit 


此 时 在 RouterA 上 执行 display ike peer 操作 可 以 查看 所 配置 的 IKE 对 等 体 信息 。 


[RouterA] display ike peer name rutl verbose 


Peer name : rutl 
Exchange mode : main on phase 1 
Pre-shared-key : huawei 
Local ID type -I 

DPD : Disable 
DPD mode : Periodic 
DPD idle time 30 

DPD retransmit interval: 15 

DPD retry limit “3 

Host name 。 

Peer IP address : 6.6.6.6 

VPN name 

Local IP address 

Local name 

Remote name : 
NAT-traversal : Disable 
Configured IKE version : Version one 
PKI realm : NULL 
Inband OCSP : Disable 


(6) 在 RouterA 和 RouterB 上 配置 安全 策略 。RouterA 采用 ISAKMP 方式 创建 ， 
RouterB 采用 策略 模板 方式 创建 ， 引 用 IKE 对 等 体 、IPSec 安全 提议 、 定 义 保护 数据 流 的 


ACL (RouterB 上 不 用 )。 
[RouterA] ipsec policy policyl 10 isakmp 
[RouterA-ipsec-policy-isakmp-policy1-10] ike-peer rutl 
[RouterA-ipsec-policy-lsakmp-policy1-10] proposal prop! 
[RouterA-ipsec-policy-1sakmp-policy1-10] security acl 3003 
[RouterA-ipsec-policy-isakmp-policy1-10] quit 


[RouterB| ipsec policy-template templ 10 

[RouterB-ipsec-policy-templet-temp1-10] ike-peer rutl 

[RouterB-ipsec-policy-templet-temp1-10] proposal propl 

[RouterB-ipsec-policy-templet-temp1-10] quit 

[RouterB] ipsec policy policyl 10 isakmp template temp1 #--- 通 过 引用 策略 模板 方式 创建 安全 策略 
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此 时 执行 display ipsec policy 操作 可 以 查看 所 配置 的 安全 策略 信息 。 以 下 是 在 
RouterA 上 执行 该 命令 的 输出 信息 。 
[RouterA] display ipsec policy name policyl 











IPSec policy group: policy1” 
Using interface: 


Sequence number: 10 

Security data flow: 3003 

Peer name : rutl 

Perfect forward secrecy: None 

Proposal name: propl 

IPSec SA local duration(time based): 3600 seconds 
IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Disable 


(7) 在 接口 上 应 用 安全 策略 。 此 时 分 文 机 构 网 关 因 为 采用 PPPoE 拨号 接口 进行 
Internet 连接 ， 所 以 分 文 机 构 网 关 只 能 在 逻辑 拨号 接口 上 应 用 安全 策略 。 
# 在 RouterA 的 拨号 接口 上 引用 安全 策略 。 


[RouterA] interface dialer 1 
[RouterA-Dialerl] ipsec policy policy1l 
[RouterA-Dialerl] quit 


# 在 RouterB 的 公 网 接口 上 引用 安全 策略 。 

[RouterB] interface gigabitethernet 1/0/0 

[RouterB-GigabitEthernet1/0/0] ipsec policy pollcy1l 

[RouterB-GigabitEthernet1/0/0] quit 

3. 配置 结果 验证 

配置 成 功 后 , 在 位 于 分 支 机 构 子 网 的 PC A 上 执行 ping 操作 可 以 ping 通 位 于 总 部 子 
网 的 PC B， 但 它们 之 间 的 数据 传输 将 被 加 密 ， 执 行 命令 display ipsec statistics esp 可 以 
查看 ESP 数据 包 的 统计 信息 。 以 下 是 在 RouterA 上 执行 该 命令 后 的 输出 信息 。 


[RouterA | display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
246 6.6.6.6 0 RDIST 2 
245 6.6.6.6 0 RDIST 
Flag Description: 


RD--READY ST--STAYALIVE RI--REPLACED FD--FADING TO--TIMEOUT 
# 在 RouterB 上 执行 display ike sa 操作 ， 可 查看 RouterB 上 的 IKE SA 信息 。 
[RouterB| display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
2 7.7.7.254 0 RD 2 
] 7.7.7.254 0 RD 1 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 


# 在 RouterA 上 执行 display ipsec sa 操作 可 以 查看 所 配置 的 IPSec SA 信息 。 
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[RouterAj display ipsec sa 


Interface: Dialerl ”#--- 在 拨号 接口 上 应 用 了 安全 策略 
Path MTU: 1500 


IPSec policy name: "policyl" 
Sequence number :10 


Acl Group : 3003 
Acl rule :5 
Mode : ISAK MP 
Connection ID : 246 
Encapsulation mode: Tunnel 
Tunnel local 7.1.1.254 
Tunnel remote : 6.6.6.6 
Flow source : 10.1.1.0/255.255.255.0 0/0 


Flow destination : 10.1.2.0/255.255.255.0 0/0 
Qos pre-classify :Disable 


[Outbound ESP SAs] 
SPI: 503811799 (0xle078ed7) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/1360 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SASs| 
SPI: 374552495 (0x165337af) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/1360 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


# 在 RouterB 上 执行 display ipsec sa 操作 可 以 查看 所 配置 的 IPSec SA 信息 。 


[RouterB] display ipsec sa 


Ce 


Interface: GigabitEthernet 1/0/0 
Path MTU: 1492 





IPSec policy name: "policyl" 
Sequence number :10 


Acl Group :0 

Acl rule :0 

Mode : Template 
Connection ID :2 


Encapsulation mode: Tunnel 


Tunnel local : 6.6.6.6 
Tunnel remote :71.17.71.254 
Flow source : 10.1.2.0/255.255.255.0 0/0 


Flow destination :10.1.1.0/255.255.255.0 0/0 
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Qos pre-classify : Disable 


[Outbound ESP SAs|] 
SPI: 374552495 (Ox165337af) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/1300 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs|] 
SPI: 503811799 (0xle078ed7) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/1300 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


3.3 |IKE 动态 协商 方式 IPSec 隧道 建立 不 成 功 的 故障 排除 


第 2 章 中 已 提 到 ， 在 IPSec VPN 方案 的 部 署 中 ， 主 要 存在 两 种 可 能 的 故障 情形 : 一 
是 IPSec 隧道 建立 不 成 功 ， 二 是 虽然 IPSec 隧道 建立 成 功 了 ， 但 两 端 仍 不 能 通信 。 第 二 
种 情形 的 原因 与 第 2 章 2.5.2 节 分 析 的 因素 一 样 ， 所 以 在 此 仪 介绍 在 IKE 动态 协商 方式 
建立 IPSec 隧道 的 配置 方案 中 ，IPSec 隧道 建立 不 成 功 的 故障 排除 思路 。 

在 IKE 动态 协商 建立 IPSec 隧道 的 情形 下 (包括 采用 ISAKMP 方式 和 策略 模板 方式 
建立 IPSec 隧道 这 两 种 情形 )， 因 为 建立 SA 的 参数 大 多 数 不 是 固定 的 ， 而 是 要 通过 两 端 
协商 ， 并 依据 两 端 生成 的 Cookie 值 共 同 决定 ， 所 以 影响 IPSec 隧道 建立 的 因素 比较 多 。 

另外 ， 在 IKE 动态 协商 方式 建立 IPSec 隧道 的 情形 下 ，SA 有 两 种 ， 一 是 IKE 协议 
第 一 阶段 要 协商 生成 的 IKE SA， 另 一 种 是 IKE 协议 第 二 阶段 要 成 生 的 IPSsec。 当 然 只 
有 成 功 完成 了 第 一 阶段 ， 才 可 能 进入 第 二 阶段 ， 进 而 最 终 完 成 IPSec 隧道 的 建立 。 要 判 
其 IPSec 隧道 是 否 已 建立 成 功 ， 可 以 通过 在 IPSec 设备 上 执行 display ike sa 命令 查看 里 
面 是 否 有 所 生成 的 IKE SA 和 IPSec SA《〈 如 下 例 所 示 )， 如 果 第 二 阶段 的 IPSec SA 已 生 
成 ， 证 明 隧 道 建立 是 成 功 的 ， 否 则 就 是 不 成 功 。 


<Huawel> display ike sa 


Conn-ID Peer VPN Flag(s) Phase 

13118 10.1.3.2 0 RD 2  #--- 这 是 第 二 阶段 生成 的 IPSec SA 

12390 10.132 0 RD 1 #--- 这 是 第 一 阶段 生成 的 IKE SA 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
显然 ， 有 时 不 能 在 执行 display ike sa 命令 后 见 到 这 两 种 输出 ， 或 只 见 到 IKE SA， 
没有 IPSec SA， 这 分 别 代 表 IKE 第 一 、 二 阶段 协商 不 成 功 。 下 面 分 别 介绍 其 中 可 能 的 原 
因 和 基本 的 故障 排除 思路 。 


3.3.1 第 一 阶段 IKE SA 建立 不 成 功 的 故障 排除 
如 果 在 执行 完 display ike sa 命令 后 发 现 连 第 一 阶段 的 IKE SA 信息 都 没 见 到 ， 则 表 
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明 第 一 阶段 的 IKE SA 没 建立 成 功 ， 第 二 阶段 的 IPSec SA 自然 更 没有 建立 成 功 ， 此 时 基 
本 上 可 确定 是 IKE 安全 提议 或 IKE 对 等 体 方面 配置 出 了 问题 , 因为 这 两 方面 的 配置 是 影 
啊 IKE SA 建立 的 因素 ， 此 时 可 按 以 下 思路 来 排查 原因 。 

1. 两 端的 IKE 安全 提议 配置 不 一 致 

IKE 安全 提议 与 前 面 介 绍 的 IPSec 安全 提议 不 一 样 ， 可 以 不 创建 ， 因 系统 存在 一 个 
优先 级 最 低 ， 参 数 为 缺 省 配置 的 IKE 安全 提议 。 如 果 两 端 都 不 创建 ， 也 可 行 ( 都 采用 缺 
省 配置 时 参数 配置 衣 定 是 一 致 的 )， 但 是 只 要 有 一 端 新 建 了 IKE 安全 提议 ， 则 必须 保证 
两 并 的 IKE 安全 提议 参数 配置 完全 一 致 ( 除 SA 的 生存 周期 配置 外 )， 即 协商 双方 具有 相 
同 的 加 密 算法 、 认 证 方法 、 认 证 算法 和 DH 组。 

可 在 两 端的 IPSec 设备 上 执行 display ike proposal 命令 查看 设备 上 配置 的 IKE 安全 
提议 配置 ， 看 两 端的 参数 配置 是 否 一 致 〈 除 SA duration 参数 外 )， 如 下 例 所 示 。 


<Huawei> display ike proposal 
Number of IKE Proposals: 1 


IKE Proposal: 1 
Authentication method : pre-shared 
Authentication algorithm :SHAI 
Encryption algorithm : DES-CBC 
DH group : MODP-1536 
SA duration : 86400 
PRF : PRF-AES-XCBC-128 


2. IKE 对 等 体 配置 不 符合 要 求 

在 IKE 对 等 体 配置 方面 ， 出 错 的 原因 可 能 有 多 种 。 

。 所 选择 的 IKEv1 版 本 不 一 致 〈 一 中 为 v1， 另 一 痛 为 v2 )。 

e。 上 所 选择 的 认证 方法 不 一 致 (必须 同 时 选择 pre-shared key、 rsa-signature key、 digital- 
envelope 其 中 的 一 种 )， 但 digital-envelope《〈 数 字 信 封 ) 认证 方法 只 在 IKEv1 的 主 模式 协 
商 过 程 中 支持 ，IKEv1 野蛮 模式 和 IKEv2 不 支持 。 

。 采用 预 共享 密 钥 认 证 方法 时 两 端的 共享 密 钥 不 一 致 。 

。IKEv1 阶段 1 协商 模式 (main 或 者 aggressive) 配置 不 一 致 或 错误 。 如 果 发 起 方 
的 卫 地 址 不 固定 或 者 无 法 预知 (如 采用 PPPoE 拨号 接 入 Internet 时 )， 而 双方 都 希望 采 
用 预 共 享 密 钥 验 证 方法 来 创建 IKE SA， 则 只 能 采用 野蛮 模式 。 

e 发 起 方 没有 通过 remote-address { ip-address | host-name } 命 令 指 定 对 端 卫 地 址 或 
名 称 ,或 者 所 配置 的 IP 地 址 与 对 端 通过 local-address address 命令 配置 的 IP 地 址 不 一 致 。 
如 果 采 用 策略 模板 方式 建立 IPSec 隧道 ， 则 无 需 配 置 remote-address 命令 。 

e 采用 IKEv1 版 本 时 ， 两 端 通过 local-id-type { dn | ip | name } 命 令 配置 的 本 端 ID 
类 型 不 一 致 ， 或 者 当 local-id-type 命令 配置 采用 名 称 Cname) ID 类 型 时 ， 发 起 方 没有 或 
者 没 正确 通过 remote-name name 命令 指定 对 端 名 称 。 当 采用 主 模式 (main) 时 ， 对 等 
体 ID 类 型 只 能 是 IP 类 型 。 

e 在 IKEv2 版 本 中 ， 没 有 通过 peer-id-type { dn |ip | name} 命 令 配 置 对 端 ID 类 型 ， 
或 没有 正确 配置 对 端 ID 。 也 可 能 是 因为 本 端 配置 的 local-id-type 没有 与 对 冰 配 置 的 
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peer-id-type 匹配 。 


小 






是 ” 当 响 应 方 采用 策略 模板 建立 IPSec 隧道 时 ， 两 端的 ID 类 型 必须 为 名 称 (name) 
类 型 ， 即 在 发 起 方 仍 需要 通过 remote-address ip-address 命令 指定 对 端的 IP 地址 ， 但 响 
应 方 无 需 通过 此 命令 指定 发 起 方 的 IP 地址 。 当 选择 数字 证 书 认 证 方法 时 ， 对 等 体 ID 类 
型 只 能 是 dn 类 型 。 


问题 可 以 通过 在 两 端 IPSec 设备 上 分 别 执行 display ike peer verbose 命令 ， 来 查看 
详细 的 IKE 对 等 体 配 置 从 而 解决 。 以 下 是 执行 该 命令 的 一 个 示例 。 


<Huawel> display ike peer verbose 
Number of IKE peers: 1 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Peer name ‘rat! 
Exchange mode : aggressive on phase 1 
Pre-shared-key : huawel 
Proposal ;5 

Local ID type > 

DPD : Enable 
DPD mode : Periodic 
DPD idle time : 30 

DPD retransmit interval: 15 

DPD retry limit :3 

Host name 。 

Peer IP address 2 00.1.1.2 
VPN name :vpnl 
Local IP address :70.1.12 
Local name * peer 
Remote name :Tot2 
NAT-traversal : Disable 
DPD request message :0 

DPD Ack message 3 

DPD fail tme :0 
Configured IKE version : Version one 
Service-scheme name : Schemetest 
PKI realm ‘NULL 
Inband OCSP : Disable 


Resource ACL number : 3000 


3. 没有 正确 配置 NAT 穿越 

这 是 专门 针对 IPSec 设备 的 公 网 侧 前 面 连接 有 NAT 设备 的 情形 而 分 析 的 。 此 时 出 现 
故障 的 原因 有 以 下 几 个 方面 。 

。 两 请 IPSec 设备 上 没有 同时 启用 NAT 穿越 功能 。 

华为 AR G3 系列 路 由 器 缺 省 是 没有 启用 NAT 穿越 功能 的 。 如 果 两 端 IPSec 设备 之 
间 存 在 NAT 设备 ， 则 必须 在 两 端 〈 不 能 只 在 一 端 配 置 ) TPSec 设备 通过 nat traversal 命 
令 启用 NAT 穿越 功能 。 

e。 IPSec 安全 提议 的 安全 协议 没有 选择 ESP。 

要 实现 NAT 穿越 ， 在 IPSec 安全 提议 时 的 安全 协议 必须 选择 ESP 协议 ， 而 不 能 是 
AH 协议 。 
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。 对 等 体 类 型 配置 不 正确 。 

当 IKE 对 等 体 中 引用 的 IKE 安全 提议 使 用 的 是 预 共 享 密 钥 或 数字 证 书 认证 方法 时 ， 
NAT 军 越 只 文 持 Name 类 型 的 协商 ， 即 本 端 只 能 通过 local-id-type name 命令 配置 本 疹 
ID 类 型 为 name， 对 疹 只 能 通过 peer-id-type name 命令 配置 对 新 ID 类 型 为 name。 

。 防火 墙 阻止 了 UDP 500 的 通信 。 

在 IPSec NAT 穿越 中 ， 需 要 在 ESP 报 文中 新 增 一 个 UDP 协议 头 ， 其 中 源 问 口 和 目 
的 UDP 端口 均 为 500， 故 如 果 在 两 端 IPSec 设备 则 局 用 了 防火 墙 功 能 ， 则 需要 这 些 防火 

当 设 备 允 许 UDP 500 通过 。 但 两 端 主机 可 不 用 配置 , 因为 新 增 的 UDP 头 在 到 达 对 病 IPSec 
设备 时 会 目 动 去 挥 。 


3.3.2 ”第 二 阶段 IPSec SA 建立 不 成 功 的 故障 排除 


与 前 面 介绍 的 第 一 阶段 IKE SA 建立 不 成 功 的 原因 相对 应 , 如 果 在 执行 了 display ike 
sa 命令 后 发 现 有 第 一 阶段 的 IKE SA 信息 ， 但 没 见 到 第 二 阶段 的 IPSec SA 信息 ， 则 要 检 
查 负责 第 二 阶段 IPSec SA 建立 的 IPSec 安全 提议 、 安 全 策略 、 用 于 定义 需要 保护 的 数据 
流 的 ACL， 以 及 安全 策略 应 用 这 四 个 方面 ， 可 按 以 下 思路 来 排 合 。 

1. 两 端的 IPSec 安全 提议 没 创建 ， 或 者 配置 不 一 致 

必须 手工 创建 一 个 IPSec 安全 提议 ， 因 为 缺 省 情况 下 ， 系 统 没 有 配置 IPSec 安全 所 
议 ， 但 里 面 的 参数 可 以 不 配置 ， 因 为 它们 都 有 缺 省 取 值 。 可 在 两 端的 IPSec 设备 上 执行 
display ipsec proposal 命令 ， 查 看 有 没有 创建 IPSec 安全 提议 ， 如 果 都 有 创建 ， 还 要 看 两 
端 所 创建 的 安全 提议 中 的 参数 配置 是 否 完 全 一 致 。 以 下 是 执行 display ipsec proposal 命 
令 后 的 输出 ， 当 然 ， 不 同 配置 ， 其 中 的 参数 值 可 能 不 一 样 。 


<Huawel> display ipsec proposal 
Number of proposals: 1 


IPsec proposal name: jiang 
Encapsulation mode: Tunnel 
Transform : esp-new 
ESP protocol : Authentication SHA1-HMAC-96 
Encryption DES 


2. 安全 策略 配置 不 符合 要 求 

在 ISAKMP 方式 建立 IPSec 隧道 的 情形 下 , 因为 安全 策略 的 配置 不 正确 而 导致 卫 Sec 
SA 建立 不 成 功 的 主要 原因 可 能 有 以 下 几 个 方面 。 

e。 创建 的 安全 策略 类 型 不 正确 ， 要 执行 ipsec policy policy-name seq-number isakmp 
命令 创建 。 

。 没有 正确 引用 用 于 定义 需要 保护 的 数据 流 的 ACL， 或 者 没有 正确 引用 对 应 的 
IPSec 安全 提议 、 对 等 体 。 

e 当 安 全 策略 实际 绑 定 的 接口 IP 地址 不 固定 或 无 法 预知 时 ， 没 有 执行 tunnel local 
ip-address 命令 指定 设备 上 的 其 他 接口 (如 LoopBack 接口 ) IP 地 址 为 IPSec 隧道 的 本 问 
IP 地 址 , 或 者 没有 执行 tunnel local binding-interface 命令 指定 该 接口 的 IP 地 址 为 IPSec 
隧道 本 端 IP 地 址 。 

。 当 安 全 策略 实际 绑 定 的 接口 配置 了 多 个 IP 地 址 时 ， 没 有 执行 tunnel local ip- 
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address 命令 指定 其 中 一 个 王 地 址 为 IPSec 隧道 的 本 端 全 地址 ,或 者 没有 执行 tunnel local 
binding-interface 命令 指定 该 接口 的 主 地 址 为 本 冰 地 址 。 
e。PFS 功能 配置 不 一 致 ， 因 为 在 ISAKMP 方式 中 , 本 端 和 对 端的 PFS 功能 要 么 同时 
不 启用 ， 要 么 配置 完全 一 致 〈 如 果 是 IKEV2 版 本 ， 则 两 端的 DH 配置 可 以 不 一 样 )， 否 
则 IPSec SA 协商 会 失败 。 
可 在 两 端 IPSec 设备 上 执行 display ipsec policy 命令 查看 各 目的 安全 策略 配置 ， 看 
是 否 符 合 上 述 要 求 。 以 下 是 一 个 执行 该 命令 的 示例 。 
[Huawei] display ipsec policy name policyl 
IPSec policy group: "policyl" 
Shared interface: LoopBack0 
Using interface: GigabitEthernet0/0/1 
GigabitEthernet0/0/2 


GigabitEthernet0/0/3 
GigabitEthernet0/0/4 


Sequence number: 10 

Security data flow: 3000 

Peer name uty 

Perfect forward secrecy: None 

Proposal name: propl 

IPSec SA local duration(time based): 3600 seconds 
IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size :32 

SA trigger mode: Automatic 

Route inject: None 

Qos pre-classify: Enable 


3. 两 端 定义 的 需要 保护 的 数据 流 的 不 匹配 

此 方面 参见 第 2 章 2.5.1 市 对 应 内 容 。 

另外 ， 在 IKE 动态 协商 方式 中 还 支持 NAT 穿越 ， 此 时 如 果 出 现 两 端 私 网 不 通 还 可 
能 是 因为 定义 需要 IPSec 保护 的 数据 流 存 在 错误 ,或 者 其 与 NAT 定义 的 数据 流 重 车 ( 可 
以 使 用 display acl all 命令 查看 ACL 的 匹配 情况 )。 如 果 和 NAT 定义 的 数据 流 存在 重合 ， 
则 可 以 通过 以 下 方式 之 一 进行 处 理 。 

e。 NAT 引用 的 ACL 规则 deny 目的 卫 地 址 是 IPSec 引用 的 ACL 规则 中 的 目的 全 地 
址 ， 避 免 把 IPSec 保护 的 数据 流 进行 NAT 转换 。 

。 IPSec 引用 的 ACL 规则 需要 匹配 经 过 NAT 转换 后 的 卫 地 址 。 





上 “在 NAI 中 重新 配置 deny 规则 后 , 建议 先 执行 reset session all 或 reset nat session 
all 命令 ， 让 流 表 重新 建立 ， 避 免 错 误 NAT 表 项 残留 。 

4. 安全 策略 应 用 的 接口 错误 ， 或 者 接口 有 问题 

此 方面 参见 第 2 章 2.5.1 节 对 应 内 容 。 





本 如果 采 用 的 是 策略 模板 方式 建立 IPSec 隧道 ， 则 在 安全 策略 中 所 引用 的 策略 模板 
名 称 不 能 与 安全 策略 名 称 相同 ， 否 则 IPSec SA 也 不 能 成 功 建立 。 





Efficient VPN 和 策略 的 









IPSec VPN 配 置 与 


4.1 配置 采用 虚拟 Tunnel 接 口 方 式 建立 IPSec 隧 道 
4.2 配置 采用 Efficient VPN 策 略 建立 IPSec 隧 道 
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本 章 专 门 基于 Tunnel 接 只 方式 和 基于 Efficient VPN 策略 建立 IPSec 隧道 的 具体 配置 
与 管理 方法 。 在 这 两 种 部 署 方案 中 ， 都 要 用 到 本 书 第 3 章 中 介绍 的 IKE 协议 ， 都 是 通过 
IKE 协议 动态 协商 方式 建立 IPSec 隧道 的 ， 但 这 两 种 部 署 方案 在 配置 上 与 纯 IKE 动态 协 
商 方 式 有 较 大 区 别 。 

在 基于 隧道 接口 方式 建立 IPSec 隧道 中 ， 与 纯 IKE 动态 协商 方式 相 比 的 主要 别 体现 
在 以 下 几 个 方面 。 

(1) 需要 保护 数据 流 的 定义 方面 

以 创建 的 虚拟 IPSec Tunnel 接口 或 隧道 模板 接口 作为 到 达 对 端子 网 的 数据 流转 发 路 
由 的 出 接口 ， 无需 通过 ACL 来 定义 ， 所 有 经 过 IPSec Tunnel 接口 或 隧道 模板 接口 转发 的 
数据 流 都 将 通过 IPSec 传输 ， 简 化 了 数据 流 的 定义 。 

另外 ， 在 IPSec Tunnel 接口 或 隧道 模板 接口 上 配置 源 IP 地 址 或 源 接 口 、 目 的 卫 地 
址 等 参数 。 支 持 子 网 路 由 信息 的 相互 推送 ， 使 双方 通过 接收 对 端的 推送 消息 自动 学 习 对 
端子 网 的 路 由 信息 。 

(2 ) 只 能 采用 安全 框架 方式 配置 安全 策略 ， 而 且 一 个 IPSec Tunnel 接口 只 能 建立 一 
条 IPSec 隧道 ， 一 个 IPSec Tunnel 接口 也 只 能 应 用 一 个 安全 框架 。 


安全 策略 组 ./ 

采用 Efficient VPN 策略 最 大 的 好 处 是 可 以 使 分 支 的 配置 极 大 简化 ， 主 要 的 IPSec 安 
全 参数 都 只 需 在 总 部 上 配置 。 至 于 需要 保护 的 数据 流 定义 方面 ， 也 可 通过 AAA 业务 方 
案 推送 的 方式 来 使 对 端 学 习 (分 支 上 有 多 种 不 同 的 运行 模式 ， 不 同 的 运行 模式 所 需 进 行 
的 配置 不 完全 一 样 )， 极 大 地 满足 了 采用 动态 Internet 接 入 方式 的 分 支 用 户 与 企业 总 部 建 
立 IPSec 隧道 。 

本 章 将 具体 介绍 基于 Tunnel 接口 方式 和 基于 Efficient VPN 策略 建立 IPSec 隧道 两 种 
方案 的 配置 方法 。 同 时 还 将 介绍 多 个 在 不 同 场景 下 的 应 用 配置 生 例 ， 以 加 深 大 家 对 这 两 
种 IPSec 方案 的 基本 工作 原理 和 具体 配置 方法 的 理解 。 


4.1 配置 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 


IPSec 虚拟 Tunnel 接口 是 一 种 三 层 罗 辑 接口 , 包括 GRE、mGRE 和 IPSec 三 种 方式 。 
它 是 通过 路 由 ， 而 不 是 ACL 来 确定 对 哪些 数据 流 进行 IPSec 保护 ， 即 所 有 路 由 到 IPSec 
虚拟 Tunnel 接口 的 报 文 都 将 进行 IPSec 保护 。 简 化 了 IPSec 隧道 参数 的 配置 ， 而 且 文 持 
范围 更 广 ， 如 支持 动态 路 由 协议 和 组 播 流 量 。 

本 书 第 2 章 介 绍 到 ， 基 于 虚拟 Tunnel 接口 来 定义 需要 保护 的 数据 流 ， 首 先 在 两 端的 
IPSec 设备 创建 一 个 虚拟 的 Tunnel 接口 ， 然 后 通过 配置 以 该 Tunnel 接口 为 出 接口 的 静态 
路 由 (也 可 是 动态 路 由 )， 以 限定 到 达 哪 个 目的 子 网 的 数据 流 可 以 通过 IPSec 隧道 进行 传 
输 。 但 在 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 之 前 ， 也 需要 先 完成 以 下 任务 : 

。 实现 实际 的 隧道 源 / 目 的 物理 接口 之 间 的 公 网 路 由 可 达 ; 

。 确定 需要 IPSec 保护 的 数据 流 ， 并 将 数据 流 引 到 虚拟 Tunnel 接口 ; 
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。 确定 数据 流 被 保护 的 强度 ， 即 确定 使 用 的 IPSec 安全 提议 的 参数 。 
下 面 先 介绍 基于 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 时 所 包括 的 配置 任务 。 


4.1.1 配置 任务 


采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 方案 的 配置 任务 其 实 与 第 3 章 介绍 的 基于 
ACL 的 IKE 动态 协商 方式 建立 IPSec 隧道 的 配置 任务 大 同 小 寞 ， 因 为 它们 都 要 依靠 IKE 
协议 在 两 端 协 商 建立 IKE SA 和 IPSec SA。 主 要 不 同体 现在 两 方面 : 一 是 需要 保护 数据 
的 定义 方面 , 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 方案 是 通过 配置 以 Tunnel 接口 作 
为 出 接口 的 路 由 来 指定 ， 而 不 是 通过 ACL 来 过 滤 ; 二 是 这 里 配置 的 是 安全 框架 ,而 不 是 
安全 策略 ， 尽 管 两 者 在 许多 方面 是 相同 或 相似 的 。 

以 下 是 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 方案 所 涉及 的 配置 任务 。 

1. 创建 IPSec 安全 提议 。 

IPSec 安全 提议 指定 了 IPSec 使 用 的 安全 协议 (AH 或 ESP)、 认 证 /加 密 算 法 以 及 数 
据 的 封装 模式 。 但 在 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 方案 中 仅 文 持 障 道 模式 ， 
其 他 参数 的 配置 方法 与 基于 ACL 方式 的 配置 方法 完全 一 样 , 具体 配置 方法 参见 本 书 第 2 
章 2.4.3 太 ， 两 端的 配置 必须 一 样 。 

2. 配置 安全 框架 。 

其 实 “ 安 全 框架 ”总 体 上 可 以 看 成 是 安全 策略 ， 与 安全 策略 相 比 有 以 下 不 同 。 

(1) 标识 不 同 

安全 框架 仅 由 名 称 唯一 标识 ， 一 个 安全 框架 对 应 一 组 安全 参数 ， 仅 能 唯一 匹配 ; 安 
全 策略 是 由 名 称 和 序号 共同 标识 的 ， 可 以 形成 一 个 同名 称 、 不 同 序号 的 多 组 安全 策略 ， 
即 安 全 策略 组 ， 可 以 按 优先 级 大 小 依次 匹配 。 

(2) 配置 方式 不 同 

安全 框架 只 能 通过 IKE 协商 方式 配置 ， 不 支持 手工 方式 ， 而 安全 策略 同时 文 持 手工 
方式 和 IKE 协商 方式 配置 。 

(3) 数据 流 定义 方式 不 同 

安全 框架 不 文 持 通过 ACL 来 定义 需要 保护 的 数据 流 ， 仅 支持 通过 Tunnel 接口 转发 
来 定义 需要 保护 的 数据 流 。 

(4) 可 建立 的 隧道 数 不 一 样 

在 一 个 IPSec 虚拟 Tunnel 接口 下 应 用 安全 框架 后 只 会 建立 一 条 IPSec 隧道 , 并 对 所 
有 路 由 进入 该 Tunnel 接口 的 数据 流 进行 IPSece 保护 。 虽 然 简化 了 安全 策略 管理 的 复杂 度 ， 
但 也 使 得 这 种 方案 缺乏 灵活 性 ， 不 能 针对 特定 类 型 〈 如 不 同 源 / 目 的 IP 地 址 、 不 同上 层 
协议 类 型 等 ) 的 数据 流 采 用 不 同 的 保护 方案 。 如 果 要 连接 多 个 对 等 体 的 话 ， 需 要 创建 新 
的 虚拟 Tunnel 接口 重新 配置 。 而 将 安全 策略 组 应 用 到 公 网 物理 接口 时 ， 可 在 该 接口 下 建 
并 多 条 IPSec 隧道 ， 当 有 用 户 流 量 经 该 接口 转发 时 , IPSec 会 根据 各 安全 策略 来 为 每 一 条 
隧道 中 传输 的 数据 进行 筛选 。 

在 安全 框架 配置 中 也 可 配置 一 些 可 选 扩 展 功 能 ， 如 报 文 信息 预 提 取 功 能 、 对 IPSec 
解 封装 报 文 进行 ACL 检查 功能 、 报 文 分 片 功能 、 安 全 联盟 生存 周期 、 抗 重 放 功能 等 ， 其 
实 这 些 可 选 扩 展 功 能 的 配置 方法 与 本 书 第 2 章 的 2.5.5 节 介 绍 的 对 应 功能 的 配置 方法 基本 
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一 样 ， 只 不 过 这 里 要 在 安全 框架 视图 下 配置 ， 而 不 是 在 安全 策略 视图 下 配置 。 

3. (可 选 ) 定义 IKE 安全 提议 

这 是 一 项 可 选 配 置 任务 ， 其 配置 方法 与 基于 ACL 方式 IKE 协商 建立 IPSec 隧道 情形 下 
的 IKE 安全 提议 的 配置 方法 是 一 样 的 ， 具 体 配 置 方 法 参见 第 3 章 3.1.2 节 。 通常 可 直接 采用 
缺 省 参数 配置 ， 甚 全 连 IKE 安全 提议 也 不 用 新 建 ， 因 为 系统 有 一 个 缺 省 的 IKE 安全 提议 。 

4. 配置 IKE 对 等 体 

这 项 配置 任务 的 配置 方法 与 基于 ACL 方式 IKE 协商 建立 IPSec 隧道 情形 下 的 IKE 
对 等 体 的 配置 方法 基本 一 样 的， 但 是 安全 框架 引用 的 IKE 对 等 体 不 需要 指定 本 端 地 址 
(local-address) 和 对 端 地 址 (remote-address) ， 因 为 安全 框架 进行 IKE 协商 时 ， 选 用 
的 本 端 地 址 和 对 端 地 址 分 别 是 通过 IPSec 虚拟 Tunnel 接口 的 源 IP 地 址 和 目的 IP 地 址 指 
定 的 。 其 他 参数 的 配置 方法 参见 第 3 章 3.1.3 节 。 

5. 配置 IPSec 虚拟 Tunnel 接口 

IPSec 虚拟 Tunnel 接口 就 是 及 用 IPSec 对 报 文 进行 封装 的 Tunnel 接口 ， 需 要 配置 它 
目 身 的 IP 地 址 ， 以 启用 它 的 三 层 特性 ， 封 装 模 式 、 源 IP 地 址 和 目的 IP 地址 。 源 全 地 
址 是 通过 虚拟 Tunnel 接口 转发 数据 包 时 作为 卫 报头 中 的 源 卫 地 址 ， 是 真正 用 于 数据 包 
转发 的 物理 接口 的 公 网 IP 地 址 ; 目的 卫 地址 是 通过 虚拟 Tunnel 接口 转发 数据 包 时 作为 
IP 报头 中 的 目的 卫 地 址 ， 是 隧道 对 端 设备 的 公 网 IP 地 址 。 

6. 基于 虚拟 Tunnel 接 UH 转发 的 路 由 以 定义 需要 IPSec 保护 的 数据 流 

前 面 已 介绍 到 ， 基 于 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 的 方案 中 是 不 需要 通过 
ACL 来 定义 需要 保护 的 数据 流 ， 但 是 仅 创 建 了 一 个 虚拟 Tunnel 接口 那 如 何 确定 哪些 数 
据 流 要 进入 IPSec 隧道 转发 呢 ? 所 以 我 们 还 得 通过 其 他 方法 来 把 需要 进入 IPSec 隧道 的 
数据 引 到 通过 虚拟 Tunnel 接口 来 转发 ， 即 以 虚拟 Tunnel 接口 作为 指定 目的 IP 网 段 数据 
流转 发 的 出 接口 来 配置 路 由 。 

下 面 仅 就 以 上 第 1、 第 5 和 第 6 项 任务 的 具体 配置 方法 进行 介绍 。 


4.1.2 ”配置 安全 框架 


安全 框架 定义 了 对 数据 流 的 保护 方法 (类 似 安全 策略 的 作用 ， 配 置 方 法 也 基本 一 
样 )， 如 使 用 的 IPSec 安全 提议 、 用 于 自动 协商 SA 所 需要 的 IKE 协商 参数 、SA 的 生存 
周期 以 及 PFS 特性 ， 有 具体 配置 步骤 如 表 4-1 所 示 。 





因为 安全 框架 仅 以 名 称 标识 ， 一 个 安全 框架 下 只 能 配置 一 套 安全 参数 ， 所 以 为 了 
确保 两 端 能 IKE 协商 成 功 ， 安 全 框架 中 所 有 配置 的 参数 必须 本 端 和 对 端 相 匹配 。IPSec 
的 保护 方法 在 安全 框架 中 引用 后 应 用 在 虚拟 Tunnel 接口 上 ， 以 采用 虚拟 Tunnel 接口 方 
式 建 立 IPSec 隧道 。 
表 4-1 配置 安全 框架 的 步骤 
步 又 命令 8 说 明 
system-view 进入 系统 视图 


例如 : <Huawei> system-view 
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A 帮 


ipsec profile profile-name 


例如 : [Huawei] ipsec profile 
profilel 


proposal proposal-name 
例如 : [Huawei-ipsec-profile- 
profilel] proposal propl 


ike-peer peer-name 
例如 : [Huawei-ipsec-profile- 
proflle1l] ike-peer mypeer 









match ike-identity identity- 
name 

例如 : [Huawei-ipsec-profile- 
profilel] match ike-identity 
identity 1 


pfs { dh-groupl | dh-group2 | 
dh-groups | dh-group14 | dh- 
group19 | dh-group20 | dh- 
group21} 


例如 : [Huawei-ipsec-profile- 
profilel| pfs dh-groupl 


( 续 表 ) 
创建 安全 框架 ， 并 进入 安全 框架 视图 。 参 数 profile-name 用 
来 指定 安全 框架 名 称 ， 字 符 串 格式 ， 长 度 范 围 是 1 一 12， 区 
分 大 小 写 ， 字符 串 中 不 能 包含 “? ”和 空格 。 一 个 安全 框架 
只 能 应 用 在 一 个 Tunnel 接口 上 
然后 需要 在 安全 框架 视图 下 配置 安全 框架 的 各 项 协商 参数 ， 
并 执行 命令 ipsec profile (Tunnel 接口 视图 ) 在 接口 上 应 用 
安全 框架 
缺 省 情况 下 ,系统 没有 安全 框架 存在 , 可 用 undo ipsec profile 
profile-name 删除 指定 的 安全 框 染 
在 安全 框架 中 引用 已 配置 的 IPSec 安全 提议 。 所 引用 的 IPSec 
安全 提议 的 封装 模式 只 能 是 隧道 模式 ， 这 需要 在 IPSec 安全 
提议 中 指定 
缺 省 情况 下 , 安全 框架 没有 3 引用 IPSec 安全 提议 , 可 用 undo 
proposal [ proposal-name ] 命 令 删 除 已 引用 的 所 有 或 指定 的 
IPSec 安全 提议 
在 安全 框架 中 引用 已 配置 的 IKE 对 等 体 
【 注意】 安全 框架 引用 的 IKE 对 等 体 不 需要 指定 本 端 地 址 
( local-address ) 和 对 端 地 址 (remote-address ) ， 因 为 安全 框 
架 进行 IKE 协商 时 , 选用 的 本 端 地 址 和 对 端 地 址 分 别 是 通过 
IPSec 隧道 源 IP 地 址 和 目的 IP 地 址 指定 的 ， 安 全 框架 所 引 
用 的 IKE 对 等 体 中 的 local-address 和 remote-address 命令 
配置 不 生效 
缺 省 情况 下 ， 安 全 框架 没有 引用 IKE 对 等 体 ， 可 用 undo 
ike-peer 命令 删除 引用 的 IKE 对 等 体 
(可 选 ) 引用 映 份 过 滤 集 。 参数 dentity-name 用 于 指定 身份 过 
滤 集 名 称 , 必须 是 一 个 已 通过 ike identity identity-name 命令 
创建 的 身份 过 滤 集 。 在 一 个 身份 过 滤 集 中 包括 IKE 协商 时 的 
本 端 名 称 ，DN，IP 地 址 等 ， 指 定 符合 条 件 的 发 起 方 接 入 ， 
避免 其 他 非法 方 与 设备 建立 IPSec 隧道 ， 提 高 了 安全 性 
(可 选 ) 配置 本 端 发 起 协商 时 使 用 的 PFS 特性 。 该 命令 用 于 


ayn me 


。 dh-group1: 多 选 一 选项 ， 指 定 使 用 768-bit Diffie-Hellman 组 
。 dh-group2: 多 选 一 选项 ， 指 定 使 用 1024-bit Diffe-Hellman 组 
。 dh-groupS: 多 选 一 选项 ， 指 定 使 用 1536-bit 的 Diffie- 
Hellman 组 

。 dh-group14: 多 选 一 选项 ， 指 定 使 用 2014-bit 的 Diffie- 
Hellman 组 

。 dh-group19: 多 选 一 选项 , 指定 使 用 256-bit 的 ECP Diffie- 
Hellman 组 ， 仅 Y200R006 及 以 后 版 本 支持 

。 dh-group20: 多 选 一 选项 , 指定 使 用 384-bit 的 ECP Diffie- 
Hellman 组 ， 仅 V200R006 及 以 后 版 本 支持 

。 dh-group21: 多 选 一 选项 , 指定 使 用 512-bit 的 ECP Diffie- 
Hellman 组 ， 仅 V200R006 及 以 后 版 本 支持 
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ES Eee 
步骤 | 命令 | 说 明 
pfs { dh-groupl | dh-group2 | | 【注意 】 如 果 本 端 指 定 PFS， 对 端 在 发 起 协 ge PFS 


dh-group$ | dh-groupl4 | dh- A 9 
group19 | dh-group20 | dh- 且 本 端 和 对 端 指定 的 DH 组 必须 一 致 ， 否 则 协商 会 


group21} 
缺 省 情况 下 , 本 端 发 起 协商 时 没有 使 用 PFS 特性 , 可 用 undo 
pfs 命令 配置 IPSec 隧道 本 端 在 协商 时 不 使 用 PFS 特性 








例如 : [Huawei-ipsec-profile- 
profilel|] pfs dh-group1l 


4.1.3 配置 可 选 扩 展 功能 


本 市 所 介绍 的 扩展 功能 配置 任务 均 是 可 选 的 ， 具 体 要 根据 你 所 配置 方案 的 实际 需要 
选择 配置 。 在 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 的 应 用 中 ， 可 选 配置 的 扩展 主要 
包括 以 下 这 几 个 方面 。 

。 配置 原始 报 文 信息 预 提取 功能 

。 配置 对 IPSec 解 封 装 报 文 进行 ACL 检 碍 

。 配置 报 文 分 片 功能 ， 参 见 2.4.5 节 的 表 2-7 

。 配置 安全 联盟 生存 周期 

。 配置 抗 重 放 功能 

oo 2 章 的 2.4.5 节 或 第 3 章 的 3.1.5 节 有 详细 介 
绍 ， 在 此 就 不 再 袭 述 ， 仅 具体 介绍 它们 在 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 应 用 
中 的 配置 方法 。 

1. 配置 原始 报 文 信息 预 提 取 功 能 

当 在 接口 上 同时 应 用 了 IPSec 安全 策略 与 QoS 策略 时 ，QoS 默认 使 用 被 封装 报 文 的 
外 层 报 文 头 部 信息 来 对 报 文 进行 分 类 。 如 果 希 望 QoS 基于 被 封装 报 文 的 原始 报 文 头 部 信 
息 对 报 文 进行 分 类 ， 则 需要 配置 原始 报 文 信息 预 提 取 功 能 来 实现 。 

在 基于 Tunnel 接口 方式 建立 IPSec 隧道 方案 中 ,原始 报 文 信息 预 提取 功能 既 可 在 安 
全 框 中 启用 ， 也 可 在 Tunnel 接口 下 启用 ， 具 体 方 法 如 表 4-2 所 示 。 


表 4-2 原 焕 报关 信息 abel 的 配置 步 又 





system-view 


1 Nn 
例如 : <Huawei> system-view 进入 系统 视图 


ipsec profile profile-name (二 选 一 ) 进入 安全 框架 视图 , 在 安全 框 中 配置 原始 报 文 信 
例如 : [Huawei] ipsec profile | 息 进行 预 提 取 功 能 ， 可 适用 于 所 有 应 用 本 安全 框架 的 
profilel Tunnel 接口 












2 interface tunnel interface- 
number (二 选 一 ) 进入 Tunnel 接口 视图 ， 在 Tunnel 接口 下 配置 原 
例如 : [Huawei] interface 始 报 文 信息 进行 预 提取 功能 ， 仅 适用 于 本 Tunnel 接口 
tunnel 0/0/1 
Se (二 选 一 ) 配置 对 原始 报 文 信息 进行 预 提取 。 
2 缺 省 情况 下 ， 系 统 没有 配置 对 原始 报 文 信息 的 预 提取 ， 
3 例如 : [Huawei-ipsec-profile- 


可 用 undo qos pre-classify 命令 取消 对 原始 报 文 信息 的 预 


rofilel| ike-peer mypeer 
p ] ike-p yp 提取 
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( 续 表 ) 

/ / JW 
(二 选 一 ) 配置 IPSec 报 文 所 属 的 QoS 组 。 参 数 qos-group- 
value 用 来 指定 QoS 组 的 序号 , 整数 形式 , 取 值 范围 是 1 一 
99。 可 通过 remark qos-group 90s-group-value 重 标记 报 文 
所 属 的 QoS 组 。 

缺 省 情况 下 ， 系 统 没有 配置 IPSec 报 文 所 属 的 QoS 组 ， 可 
用 undo qos group 命令 用 来 删除 IPSec 报 文 所 属 的 QoS 组 

2. 配置 对 IPSec 解 封 装 报 文 进行 ACL 检查 

在 IPSec 虚拟 Tunnel 接口 下 应 用 安全 框架 后 只 会 生成 一 条 IPSec 隧道 ， 并 对 所 有 路 
由 到 该 Tunnel 接口 的 数据 流 进 行 IPSec 保护 ，IPSec 设备 会 根据 Tunnel 接口 的 封装 模式 
目 动 生成 一 条 ACL。 

e。 当 Tunnel 接口 的 封装 模式 设置 为 IPSec 时 ， 生 成 的 ACL 的 源 IP 地 址 和 目的 I 
地 址 均 为 any， 表 示 对 到 该 Tunnel 接口 的 所 有 数据 流 进行 保护 。 

。 Tunnel 接口 的 封装 模式 设置 为 GRE 时, 生成 ACL 的 源 全 地 址 和 目的 I 了 P 地 址 分 
别 为 隧道 源 IP 地 址 和 目的 卫 地 址 。 

SA 入 方 癌 的 IPSec 报 文 在 解 封装 之 后 有 可 能 内 部 了 报头 不 在 当前 安全 策略 配置 的 ACL 
保护 苑 围 内 ,如 网 络 中 恶意 构造 的 攻击 报 文 头 可 能 不 在 此 范围 。 所 以 设备 重新 检查 报 文 内 部 
IP 头 是 否 在 ACL 保护 范围 内 ， 解 封装 后 的 报 文 知 能 与 ACL 的 permit 规则 匹配 上 则 采取 后 
续 处 理 ， 人 否则 丢弃 。 该 功能 可 以 保证 ACL 检查 不 通过 的 报 文 被 丢弃 ， 提 高 了 网 络 安全 性 。 

在 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 的 方案 中 ， 配 置 对 IPSec 解 封 装 报 文 进 
行 ACL 检查 的 方法 很 简单 ， 只 需 在 系统 视图 下 执行 ipsec decrypt check 命令 即 可 。 缺 省 
情况 下 ， 在 V200R006 版 本 以 前 系统 是 未 使 能 的 ， 而 在 V200R006 版 本 后 是 使 能 的 ， 可 
用 undo ipsec decrypt check 命令 取消 对 IPSec 解 封 装 报 文 进行 ACL 检查 。 

一 般 情 况 下 不 要 关闭 IPSe 的 ACL 检查 功能 ， 否 则 系统 允许 未 加 密 的 报 文通 过 ， 此 
时 无 法 防范 内 部 攻击 者 。 

3. 配置 安全 联盟 生存 周期 

SA 生存 周期 既 可 以 基于 全 局 配置 ， 也 可 以 基于 安全 框架 配置 。 如 果 没 有 单独 为 某 
安全 框架 设置 SA 生存 周期 ， 则 采用 设 定 的 全 局 生存 周期 。 如 果 同 时 配置 了 基于 全 局 和 
基于 安全 框架 的 SA 生存 周期 ， 则 基于 安全 框架 的 SA 生存 周期 生效 。 有 具体 配置 步骤 如 
表 4-3 所 示 。 ] VIL 

表 4-3 配置 安全 联盟 生存 周期 的 步 又 


System-view 
入 系统 视 
例如 : <Huawei> system-view 进入 系统 视图 


在 系统 视图 下 配置 SA 的 生存 周期 
ipsec sa global-duration 
{ time-based interval | traffic- 
based size } 

例如 : [Huawei] ipsec sa global- 
duration traffic-based 10240 








qos group 90s-eroup-value 
例如 : [Huawei-ipsec-profile- 
profilel] qos group 10 




















(可 选 ) 设置 全 局 SA 生存 周期 。 命 令 中 的 参数 说 明 如 下 : 
。 time-based interval: 指定 以 时 间 为 基准 的 SA 全 局 生存 
周期 ,是 从 SA 建立 开始 到 此 SA 协商 存活 的 时 间 ， 整 数 形 
式 ， 取 值 范围 是 100~604800， 单 位 是 秘 
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0 
: 说 明 \ - 
3 PT size: 指定 以 所 传输 的 流量 为 十 淮 的 SA i 
ipsec sa global-duration 局 生存 周期 是 此 SA 允许 处 理 的 最 大 流量 ,整数 形式 ， 取 
{ time-based interval | traffic- | 值 范围 是 0，2560 一 4194303， 单 位 是 干 字 节 
based size } 缺 省 情况 下 ， 以 时 间 为 基准 的 全 局 SA 生存 周期 为 3600s， 


例如 : [Huawei] ipsec sa global- | 以 流量 为 基准 的 全 局 SA 生存 周期 为 1843200 千 字 节 (1800 
duration traffic-based 10240 | 兆 )， 可 用 undo ipsec sa global-duration { time-based | 
traffic-based } 命 令 恢复 全 局 SA 生存 周期 为 缺 省 值 





在 安全 框架 下 配置 SA 的 生存 周期 
ipsec profile profile-name 
2 例如 : [Huawei] ipsec profile | 进入 安全 框架 视图 


profilel 
sa duration { traffic-based size |《〈 可 选 ) 配置 安全 框架 下 SA 生存 周期 ， 优 先 级 高 于 在 系统 
| time-based interval } 视图 下 的 全 局 配置 。 参 数 说 明 参 见 本 表 前 面 说 明 

3 例如 : [Huawei-ipsec-profile- “| 缺 省 情况 下 ， 没 有 设置 IPSec 策略 下 SA 的 生存 周期 ， 系 统 采 


profilel] sa duration time- 用 当前 全 局 SA 的 生存 周期 ， 可 用 undo sa duration { traffic- 
based 7200 based | time-based } 命令 取消 配置 IPSec 策略 下 SA 的 生存 周期 
4. 配置 抗 重 放 功 能 
抗 重 放 功能 的 具体 说 明 参 见 本 书 第 3 章 3.1.5 节 中 的 第 5 点 说 明 。 在 采用 虚拟 Tunnel 
接口 方式 建立 IPSec 隧道 的 应 用 中 ， 抗 重 放 功能 也 既 可 在 系统 视图 下 配置 ， 又 可 在 安全 
框 染 视 图 下 配置 。 如 果 安 全 框架 视图 中 配置 了 ， 以 安全 框架 视图 的 取 值 为 准 ， 否 则 以 系 
统 视图 中 的 配置 为 准 ， 具 体 配置 方法 如 表 4-4 所 示 。 
表 4-4 配置 搞 重 放 功 i 
步骤 | 命令 ”说明 
system-view 


] 进入 系统 视图 


例如 : <Huawei> system-view 

ipsec anti-replay { enable | 配置 抗 重 放 功能 。 命 令 中 的 选项 说 明 如 下 : 
disable} 7 z 。 enable: 二 选 一 选项 ， 使 能 抗 重 放 功能 
例如 : [Huawei] ipsec anti- 。 disable: 二 选 一 选项 ， 去 使 能 抗 重 放 功能 
i ee 缺 省 情况 下 ， 系 统 已 使 能 抗 重 放 功能 

在 系统 视图 下 配置 抗 重 放 功 能 








指定 IPSec 抗 重 放 窗 口 的 大 小 , 可 取 值 为 32、64、128、256、 
0 anti-replay window 512、1024, 单位 为 bit。 安全 框架 视图 中 没有 配置 该 命令 时 ， 
3 0 “| 搞 重 放 窗口 的 大 小 取 系统 视图 中 的 什 
replay ve ins i 缺 省 情况 下 ，IPSec 抗 重 放 窗口 的 大 小 是 32 位 ， 可 用 undo 
ipsec anti-replay window 命令 恢复 为 缺 省 值 





在 安全 框架 下 配置 抗 重 放 功能 
ipsec profile profile-name 
3 例如 : [Huawei] ipsec profile | 进入 安全 框架 视图 
profilel 
ipsec anti-replay window 
window-size 指定 IPSec 抗 重 放 窗 口 的 大 小 。 如果 安 全 框架 视图 中 配置 了 
4 例如 : [Huawei-ipsec-profile- ”| 该 命令 ， 以 安全 框架 视图 的 取 值 为 准 。 其 他 说 明 参 见 本 表 
profilel | ipsec anti-replay 前 面 说 明 
window 128 
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4.1.4 配置 IPSec 虚拟 隧道 /隧道 模板 接口 


IPSec 虚拟 Tunnel 接口 是 采用 IPSec 对 报 文 进 行 封装 的 Tunnel 接口 ，IPSec 的 Tunnel 
接口 的 IP 地 址 可 以 手工 配置 ， 也 可 以 通过 IKEvV2 协商 动态 申请 ， 后 者 在 大 规模 分 文 接 
入 总 部 的 场景 中 ， 可 减少 分 文 设 备 的 配置 和 维护 工作 量 。 

IPSec 虚拟 Tunnel 接口 有 两 种 配置 方法 ，(1) 直接 创建 并 配置 IPSec Tunnel 接口 ， 
同时 适用 于 IKEv1 和 IKEv2 两 种 版 本 ， 具 体 配置 步骤 如 表 4-5 所 示 。(2) 采用 虚拟 隧道 
模板 接口 配置 方式 ,此 时 每 增加 一 个 分 文 网 关 接 入 ,总 部 网 关 会 动态 生成 一 个 虚拟 Tunnel 
接口 ， 此 时 所 有 该 模板 下 的 Tunnel 接口 都 采用 相同 配置 。 但 虚拟 隧道 模板 接口 配置 仅 
IKEv2 版 本 文 持 ， 有 共 体 的 配置 步骤 如 表 4-6 所 示 。 





“配置 了 虚拟 隧道 模板 接口 后 本 端 就 不 能 发 起 IKE 协商 ,只 能 作为 协商 响应 方 接受 
对 端的 协商 请 求 ， 一 般 用 于 总 部 网 关 配 置 。 
表 4-5 下午 IPSec 虚 贡 Tunnel ie 吕 





ti - 进入 系统 视图 


例如 : <Huawei> system-view 


interface tunnel interface- 进入 Tunnel 接口 视图 ， 参 数 说 明 参 见 本 章 表 4-2 第 2 步 


ne 二 interface Tunnel 接口 编号 只 共有 本 地 意义 ,隧道 两 闯 配 置 的 Tunnel 
tunnel 0/0/1 接口 编号 可 以 不 同 
配置 Tunnel 接口 的 封装 模式 。 命 令 中 的 选项 说 明 如 下 : 
。 ipsec: 二 选 一 选项 ， 配 置 Tunnel 接口 的 隧道 协议 为 
IPSec， 通 过 Tunnel 接口 建立 IPSec 隧道 ， 保 证 在 Internet 
上 传输 单 播 数 据 的 安全 保密 性 。 在 单独 的 IPSec VPN 应 
用 中 ， 必 须 选 择 此 项 
e gre: 二 选 一 选项 , 配置 Tunnel 接口 的 隧道 协议 为 GRE， 
通过 Tunnel 接口 实现 GRE over IPSec 功能 ， 除 了 可 以 传 
[ue ro 【gre 了 mm | 输 单 播 数据 ， 还 可 以 传输 组 播 数据 。 先 对 数据 进行 GRE 
多 封装 , 再 对 GRE 封装 后 的 报 文 进行 IPSec 加 密 , 完成 对 数 


例如 : [Huawei-Tunnel0/0/1] 
tunnel-protocol ipsec 


据 安 全 可 靠 的 传输 ， 参 见 本 书 第 6 章 

e p2mp: 可 选项 , 配置 Tunnel 接口 的 隧道 协议 是 mGRE， 
通过 Tunnel 接口 实现 DSVPN 功能 ， 参 见 本 书 第 7 章 
【注意 】 必 须 先 指定 隧道 协议 后 才能 进行 隧道 的 源 地 址 及 
其 他 参数 的 配置 ,修改 隧道 封装 模式 会 删除 该 隧道 下 已 配 
置 的 相关 参数 。Tunnel 接口 的 封装 模式 根据 实际 需要 设置 
为 IPSec、GRE 或 者 mGRE 方式 ， 才 能 在 Tunnel 口 下 绑 
定 IPSec 安全 框架 





ip ee Las% | | (二 选 一 ) 配置 Tunnel 接口 的 IPv4 私 网 地 址 , 通常 是 私 网 
mask-length } [ su IP 地 址 ， 但 它 并 不 是 作为 经 过 重 封装 后 数据 包 的 源 IP 地 


4 例如 : [Huawei-Tunnel0/0/1] ip od 8 se 
address 202.38.160.1 255.255. bt 数据 包 的 源 人 P 地 址 是 本 表 第 5 步 指定 的 源 


255.0 
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Sn 


ip address ike-negotiated 





4 例如 : [Huawei-Tunnel0/0/1] ip 
address ike-negotiated 
source { [ vpn-instance vpn- 
instance-name | source-ip- 

. address | interface-type 


interface-number } 


例如 : [Huawei-Tunnel0/0/1] 
source loopback 0 


destination dest-ip-address 


6 例如 : [Huawei-Tunnel0/0/1] 
destination 192.1.1.1 


tunnel pathmtu enable 


7 例如 : [Huawei-Tunnel0/0/1] 
tunnel pathmtu enable 





| ( 续 表 ) 
(二 选 一 ) 配置 通过 IKEv2 协商 为 Tunnel 接口 申请 IPv4 
地 址 ， 仅 针对 IPSec 类 型 的 Tunnel 接口 ， 且 V200R006 
及 以 后 版 本 VRP 系统 的 IKEv2 支持 


‘配置 Tunnel 接口 的 源 卫 地 址 或 源 接 口 。 在 IPSec 应 用 中 ， 


Tunnel 接口 的 源 人 P 地 址 以 及 下 一 步 将 要 配置 的 目的 全 地 
址 其 实 也 就 是 IPSec 隧道 两 端 公 网 侧 接口 〈 既 可 以 是 物理 
接口 ， 也 可 以 是 VT 逻辑 接口 ) 的 IP 地 址 

创建 Tunnel 接口 后 ， 需 要 运行 此 命令 为 Tunnel 接口 配置 
源 IP 地 址 ， 此 地 址 将 作为 IKE 协商 时 本 端 身 份 的 标识 。 
指定 的 Tunnel 接口 源 地 址 是 封装 的 报 文 实际 出 口 卫 地 址 。 
命令 中 的 参数 说 明 如 下 : 

e ypn-instance-name: 可 选 参数 ， 指 定 Tunnel 接口 所 属 的 
VPN 实例 

e source-ip-address: 二 选 一 人 参数， 指定 隧道 源 IP 地 址 

e interface-type interface-number: 二 选 一 参数 ， 指 定 隧道 
源 接口 类 型 和 接口 编号 

【注意 】 如 果 Tunnel 接口 的 源 地 址 为 某 接口 动态 获取 的 IP 
地 址 ， 建 议 配置 source 命令 时 指定 为 源 接口 ,避免 当 该 地 
址 变化 时 影响 IPSec 配置 恢复 

缺 省 情况 下 ， 系 统 不 指定 隧道 的 源 IP 地 址 或 源 接口 ， 可 
用 undo source 命令 删除 配置 的 Tunnel 源 卫 地 址 或 源 接口 
(可 选 ) 配置 Tunnel 接口 的 目的 王 地址 ， 即 对 疹 IPSec 设 
备 的 公 网 侧 接口 〈 既 可 以 是 物理 接口 ， 也 可 以 是 VT 逻辑 
接口 ) 卫 地 址 

【注意 】 当 IPSec 虚拟 Tunnel 接口 的 目的 IP 地 址 未 配置 的 
时 候 ， 本 端 不 能 作为 发 起 方 主动 发 起 IKE 协商 ， 只 能 被 动 
接受 对 端 发 起 的 协商 

如 果 Tunnel 接口 的 封装 模式 设置 为 IPSec 方式 , 则 只 需要 
一 端 配置 目的 IP 地 址 即 可 ; 如 果 Tunnel 接口 的 封装 模式 
设置 为 GRE 方式 ， 则 两 端 都 需要 配置 目的 卫 地址 

配置 完成 后 ， 修 改 Tunnel 接口 下 的 source 或 destination 
配置 会 导致 应 用 安全 框架 的 配置 被 清除 ， 如 果 需 要 ， 重新 
应 用 安全 框架 。 系 统 中 不 能 同时 配置 两 条 相同 的 封装 模 
式 ， 源 IP 地 址 和 目的 卫 地 址 的 Tunnel 接口 

缺 省 情况 下 ， 没 有 配置 Tunnel 接口 的 目的 卫 地址， 可 用 
undo destination 命令 删除 Tunnel 接口 的 目的 IP 地 址 
(可 选 ) 使 能 IPSec 隧道 的 路 径 MTU 值 学 习 功 能 。 该 命令 
只 支持 Tunnel 接口 的 封装 模式 设置 为 IPSec 或 GRE 模式， 
并 且 只 对 配置 了 destination 命令 的 Tunnel 接口 有 效 ， 且 
仅 V200R006 及 以 后 的 版 本 VRP 系统 支持 

【说 明 】 正 常情 况 下 ，IPSec 隧道 建立 成 功 后 ， 本 端 向 对 端 
发 送 的 IPSec 报 文 超过 IPSec 隧道 中 间 路 径 MTU 值 时 ， 
IPSec 报 文 被 丢弃 ,同时 本 端 将 接收 到 ICMP 不 可 达 消 息 。 
通过 本 命令 配置 ， 使 设备 利用 ICMP 不 可 达 消 息 中 包含 的 
下 一 跳 网 络 的 MTU 值 和 对 应 SA 的 SPI 值 学 习 路 径 MTU 
值 ， 自 动 调整 接口 的 MTU 值 为 适合 值 ， 以 使 IPSec 报 文 
被 正常 转发 


表 4-6 
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tunnel pathmtu enable 


例如 : [Huawei-Tunnel0/0/1] 
tunnel pathmtu enable 


ipsec profile profile-name 
例如 : [Huawei-Tunnel0/0/1] 


ipsec profile profilel 


standby interface interface- 
type interface-number [ priority | 
例如 : [Huawei-Tunnel0/0/1] 
standby interface Tunnel0/0/2 








system-view 


例如 : <Huawei> system-view 


interface tunnel-template 
interface-number 

例如 : [Huawei] interface 
tunnel-template 1 


ip address ip-address { mask | 
mask-length Y [ sub | 


例如 : 
Templatel| ip address 
202.38.160.1 235,255,255.0 


[Huawel-Tunnel- 





配置 I IPSec 虚 拟 隘 这 二 吕 的 步 步骤 
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ee 
但 如 果 网 络 "py Er 报 文 ， 
该 功能 不 生效 。 如 果 设 备 使 能 了 NAT 穿越 功能 ，NAT 罕 
越 改 变 了 IPSec 报 文 格 式 ， 无 法 正确 识别 对 应 SA 的 SPI 
值 ， 该 功能 也 不 生效 
缺 省 情况 下 ， 系 统 未 使 能 
功能 , 可 用 undo tunnel pathmtu enable 命 
隧道 的 路 径 MTU 值 学 习 功 能 
在 Tunnel 接口 上 应 用 安全 框架 , 使 其 具有 IPSec 的 保护 功能 
缺 省 情况 下 ,Tunnel 接口 上 没有 应 用 安全 框架 , 可 用 undo 
ipsec profile 命令 在 接口 上 取消 应 用 的 安全 框架 
【说 明 】〗 一 个 Tunnel 接口 只 能 应 用 一 个 安全 框架 。 
全 框架 也 只 能 应 用 到 一 个 Tunnel 接口 上 . 当 取 消 应 用 在 虚 
拟 Tunnel 接口 上 的 安全 框架 后 ， 虚 拟 Tunnel 接口 将 不 再 
具有 IPSec 的 保护 功能 


(可 选 ) 配置 主 Tunnel 接口 的 备份 Tunnel 接口 ， 并 配置 其 
优先 级 。 备 份 接口 优先 级 为 整数 形式 ， 取 值 范 围 是 0 一 255$， 
值 越 大 优先 级 越 高 ， 缺 省 值 为 0。 仅 V200R006 及 以 后 版 
本 VRP 系统 支持 
一 个 主 接口 最 多 可 以 配置 三 个 备份 接口 。 一 个 备份 接口 同 
时 只 能 为 一 个 主 接口 提供 备份 。 主 接口 不 能 配置 为 其 他 接 
口 的 备份 接口 ， 备 份 接口 也 不 能 配置 成 其 他 接口 ， 口 
【说 明 】 为 了 提高 网 络 的 可 靠 性 ， 总 部 提供 两 台 及 两 台 
上 设备 供 分 支 网 关 接 入 。 虚 拟 Tunnel 接口 方式 建立 
隧道 时 ， 设 备 支持 分 支 网 关 配 置 备份 Tunnel 接口 并 应 用 安 
5 实现 虚拟 Tunnel 接口 方式 IPSec 隧道 的 主 备 链 路 
功能 。 同 时 ， 还 需 配 置 SS 和 
使得 导 隧 道 故 障 时 主 备 Tunnel 能 够 快速 发 生 切 换 
缺 省 情况 下 ,系统 无 备份 Tunnel | ， 可 用 undo standby 
interface interface-type interface-number 命令 删除 主 接口 


上 指定 的 备份 Tunnel 接口 


IPSec 隧道 的 路 径 MTU 值 学 习 
令 去 使 能 IPSec 


一 个 安 


说 明 
进入 系统 视图 


创建 并 进 Tunnel-Template 接口 视图 , Tunnel-Template 接口 
的 编号 为 整数 形式 ， 取 值 范围 是 0 一 63 

缺 省 情况 下 ， 系 统 没 有 创建 Tunnel-Template 接口 ， 可 用 
undo interface tunnel-template 命令 删除 Tunnel-Template 


接口 


(二 选 一 ) 配置 Tunnel-Template 接口 的 IPv4 私 网 地 址 ， 通 
常 是 私 网 IP 地 址 
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( 续 表 ) 
说 明 ，， 







ip address unnumbered 
interface interface-type 
interface-number 






(二 选 一 ) 配置 Tunnel-Template 接口 借用 其 他 接口 的 了 了 





















E 例如 : [Huawei-Tunnel- 地 址 
Templatel|] ip address 
unnumbered interface ljoopback0 
tunnel-protocol ipsec 
4 例如 : [Huawei-Tunnel- 配置 Tunnel-Template 接口 的 封装 模式 为 IPSec 方式 
Templatel | tunnel-protocol ipsec 
source { [ vpn-instance vpn- 
instance-name | source-ip- 
address | interface-type 配置 Tunnel-Template 接口 的 源 IP 地 址 或 源 接口 。 其 他 说 
> interface-number } 明 参 见 表 4-5 中 的 第 5 步 
例如 : [Huawei-Tunnel- 
Templatel] source 110.10.1.1 
tunnel pathmtu enable 
6 例如 : [Huawei-Tunnel- (可 选 ) 使 能 IPSec 隧道 的 路 径 MTU 值 学 习 功 能 。 其 他 说 
Template1] tunnel pathmtu 明 参 见 表 4-5 中 的 第 7 步 
enable 
在 Tunnel-Template 接口 上 应 用 安全 框架 ,使 其 具有 IPSec 
的 保护 功能 。 此 时 在 该 模板 下 生成 的 所 有 Tunnel 接口 都 
应 用 了 相同 的 安全 框架 ， 如 果 和 希望 该 模板 下 所 生成 的 
Tunnel 接口 应 用 不 同 的 安全 框架 ， 则 须 在 对 应 的 Tunnel 
ipsec profile profile-name 接口 应 用 
a a 缺 省 情况 下 ，Tunnel-Template 接口 上 没有 应 用 安全 框架 ， 






Templatel] ipsec profile 
profilel 






可 用 undo ipsec profile 命令 在 接口 上 取消 应 用 的 安全 
框 染 

【说 明 】 一 个 Tunnel-Template 接口 只 能 应 用 一 个 安全 框 
架 。 一 个 安全 框架 也 只 能 应 用 到 一 个 Tunnel-Template 
接口 上 





4.1.5 ”配置 基于 虚拟 Tunnel 接口 定义 需要 保护 的 数据 流 


要 使 两 端 IPSec 设备 连接 的 内 部 子 网 通信 都 能 通过 虚拟 Tunnel 接口 进入 到 IPSec 隧 
道 进行 转发 ， 就 必须 为 这 些 数 据 流 指定 通过 虚拟 Tunnel 接口 进入 IPSec 隧道 的 路 由 。 
为 Tunnel 接口 是 点 对 点 类 型 的 接口 , 运行 PPP 链 路 层 协议 , 所 以 以 该 接口 为 出 接口 的 静 
态 路 由 是 可 以 不 指定 下 一 跳 卫 地址 ， 仅 指定 出 接口 。 

配置 的 方法 很 简单 ， 只 需 在 两 端 IPSec 设备 上 执行 ip route-static ip-address { mask | 
mask-length } tunnel x/x/x 命令 配置 对 应 的 静态 路 由 即 可 《也 可 采用 动态 路 由 协议 配置 )。 
其 中 ip-address { mask | mask-length } 是 指 目 的 子 网 的 网 络 地 址 和 子 网 掩 码 (或 子 网 掩 公 
长 度 )， 而 x/x/x 是 本 地 设备 上 封装 了 IPSec 隧道 协议 的 Tunnel 接口 编号 。 





| 本 节 所 介绍 的 配置 方法 不 适用 于 采用 虚拟 隧道 模板 接口 配置 方式 ， 此 时 要 采用 
4.1.6 节 介 绍 的 子 网 路 由 信息 请 求 /推送 功能 来 定义 数据 流 。 
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4.1.6 ”配置 子 网 路 由 信息 的 请 求 /推送 /接收 功能 


本 项 配置 任务 是 4.1.5 节 所 介绍 的 数据 流 定义 的 可 替代 方案 ， 主 要 用 于 当 企 业 总 音 
采用 虚拟 隧道 模板 接口 应 用 安全 框架 , 而 分 支 采用 在 Tunnel 接口 应 用 安全 框架 时 ,通过 
子 网 信息 的 请 求 和 推送 功能 让 两 端 自 动 学 习 对 端子 网 路 由 。 

如 图 4-1 所 示 ， 分 支 与 总 部 采用 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 ， 未 配置 子 网 
路 由 信息 的 请 求 /推送 /接收 功能 时 , 需要 配置 静态 或 动态 路 由 将 需要 IPSec 保护 的 数据 流 
引 到 Tunnel 接口 上 上。 如果 对 端 网 络 发 生变 动 ， 本 端 需 要 修改 对 应 的 路 由 配置 使 其 IPSec 
保护 不 被 中 断 :， 如 果 增 加 一 个 分 文 机 构 与 总 部 建立 IPSec 隧道 ， 总 部 网 关 需 要 增加 去 往 
对 应 分 文 的 路 由 。 


TunnelA TunnelB 


Sec 隧道 
Internet 





a 


a 主机 p、 
图 4-1 未 配置 子 网 路 由 信息 的 请 求 /推送 /接收 时 的 两 端 路 由 配置 示例 


如 果 一 端 采用 了 虚拟 隧道 模板 接口 (如 图 4-2 所 示 )， 这 时 要 采用 子 网 路 由 信息 的 请 
求 /推送 /接收 功能 来 相互 学习 对 方 的 子 网 路 由 了 。 

配置 好 子 网 路 由 信息 请 求 /推送 功能 后 ,设备 只 需 定义 本 端 需 要 IPSec 保护 的 子 网 地 
址 ,将 本 端子 网 信息 (通常 包括 通过 ACL 定义 的 数据 流 和 路 由 出 接口 信息 ) 推送 给 对 端 
设备 ， 在 对 端 设 备 生 成 对 应 的 路 由 。 此 时 如 果 对 端 网 络 发 生变 动 ， 本 端 无 需 修 改 对 应 的 
路 由 配置 ， 只 需 请 求 对 方 的 子 网 信息 即 可 ; 如 果 增 加 一 个 分 文 机 构 与 总 部 建立 IPSec 隧 
道 , 总 部 网 关 也 无 需 增加 去 往 分 支 的 路 由 , 也 只 需 由 新 增 分 支 问 总 部 推送 子 网 信息 即 可 。 
但 该 功能 只 在 V200R006 及 以 后 版 本 VRP 系统 中 的 IKEv2 支持 。 

由 以 上 介绍 可 知 ， 这 种 功能 包括 两 项 子 功能 : 一 是 子 网 路 由 信息 请 求 功能 ， 向 对 端 
请 求 子 网 路 由 信息 ， 以 生成 对 端的 子 网 路 由 ， 另 一 个 是 子 网 路 由 信息 推送 功能 ， 本 端 向 
对 奖 推 送 本 疹子 网 信息 ， 使 对 端 生成 本 端的 子 网 路 由 。 这 两 个 子 功能 都 可 以 最 终 使 两 端 
都 相互 学 习 到 对 方 的 子 网 路 由 ， 下 面 分 别 予 以 介绍 。 

1. 配置 子 网 路 由 信息 请 求 功能 

在 这 种 实现 方式 中 ， 本 端 请 求 对 端 发 送 子 网 路 由 信息 ， 但 需要 对 端 已 配置 好 可 用 于 
推送 的 子 网 路 由 信息 ， 以 便 在 接收 到 源 端的 请 求 后 推送 本 端子 网 路 由 信息 。 要 实现 双向 
子 网 路 由 学 习 功 能 ， 需 要 在 两 端 均 配 置 子 网 路 由 信息 请 求 功能 ， 以 及 本 端 可 用 于 推送 的 
子 网 路 由 信息 。 
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me TunnelA Tunnel-TemplateB 
Wy - 192.168.1.1/24 192.168.1.2/24 | 
4 [有 A> 3 罗 
IPA 主机 a 分 支 网 关 总 部 网 关 





主机 a， 。 子 网 路 由 信息 的 请 求 


Q@) -请求 子 网 路 由 。 收 到 请 求 










生成 路 由 









pn EE 


。 子 网 路 由 信息 的 推送 和 接收 









接收 子 网 路 由 


推送 子 网 路 由 和 接口 地 址 





© 接收 子 网 路 由 interface Tunnel-TemplateB 
推送 子 网 路 由 和 接口 地 址 


(3) 生成 路 由 





PB | Tunnel-TemplateB 


图 4-2 配置 子 网 路 由 信息 的 请 求 /推送 /接收 后 两 端的 路 由 配置 示例 


【经 验 提 示 】 这 种 子 网 路 由 信息 请 求 功能 仅 对 IKE 协商 发 起 方 有 效 , 即 仅 适 用 于 IKE 
协商 发 起 方 。 而 我 们 通过 4.1.4 节 的 学 习 知 道 ， 如 果 采 用 Tunnel-Template 接口 配置 ， 则 
该 端 只 能 作为 响应 方 。 所 以 如 果 一 端 采 用 Tunnel 接口 方式 ， 另 一 端 采用 Tunnel-Template 
接口 配置 方式 ， 则 不 能 采用 这 种 方式 来 实现 子 网 路 由 的 相互 学 习 。 此 时 要 采用 后 面 将 要 
介绍 的 子 网 路 由 信息 推送 /接收 方式 来 实现 了 。 

2. 配置 子 网 路 由 信息 推送 和 接收 功能 

在 这 种 实现 方式 中 ， 一 端 推送 本 端的 子 网 路 由 信息 ， 另 一 端 接收 本 端 推送 的 子 网 路 
由 信息 ， 生 成 对 端的 子 网 路 由 ， 适 用 于 一 端 采用 Tunnel 接口 方式 ， 另 一 端 采用 Tunnel- 
Template 接口 配置 方式 。 当 然 源 端 也 要 事先 配置 好 可 用 于 推送 的 子 网 路 由 信息 。 要 实现 
两 端 相互 学 习 对 端的 子 网 路 由 ， 需 要 在 两 端 同 时 配置 子 网 路 由 信息 推送 、 接 收 功能 ， 同 
时 要 配置 好 用 于 推送 的 本 端子 网 路 由 信息 。 

下 面 分 别 介 绍 以 上 两 种 实现 方式 的 具体 配置 方法 。 

(1) 配置 子 网 路 由 信息 请 求 功能 

在 这 种 实现 方式 中 ， 本 端 配置 了 子 网 路 由 信息 的 请 求 功 能 后 ， 对 六 不 需要 配置 子 网 
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路 由 信息 的 推送 功能 ， 便 会 直接 将 子 网 路 由 信息 推送 过 去 。 此 时 需要 在 本 端 (通常 是 分 
支 端 ) 配置 子 网 路 由 信息 请 求 功能 ， 具 体 配置 步骤 如 表 4-7 所 示 ， 使 本 端 接 收 到 对 端的 
子 网 信息 后 生成 对 应 的 对 端子 网 路 由 ， 另 外 还 要 在 对 端 配置 本 地 子 网 路 由 信息 ， 使 其 收 
在 请 求 后 直接 推送 子 网 信息 ， 具 体 配 置 步骤 如 表 4-8 所 不 。 





ike peer peer-name 
例如 : [Huawei] ike peer sub 
undo version 1 

3 例如 : [Huawei-ike-peer-sub] 
undo version 1 


config-exchange request 
4 例如 : [Huawei-ike-peer-sub] 
config-exchange request 


route accept [ preference 
preference-number | [ tag tag- 
value | 

例如 : [Huawei-ike-peer-sub] 
route accept preference 20 tag 
2506 


表 4-7 子 网 路 由 信息 请 求 功能 的 配置 步 又 


system-view 、 
进入 系统 视 
例如 : <Huawei> system-view 系统 袍 国 








进入 要 请 求 子 网 信息 的 对 等 体 视图 


配置 IKE 对 等 体 使 用 的 IKE 协议 版 本 号 。 此 时 仅 可 使 用 
v2 版本， 所 以 要 关闭 v1 版 本 


使 能 请 求 对 端子 网 路 由 信息 的 功能 

缺 省 情况 下 ， 系 统 不 请 求 对 端子 网 路 由 信息 ， 可 用 undo 
config-exchange request 命令 用 来 去 使 能 子 网 路 由 信息 的 
请 求 或 设置 功能 

根据 接收 的 对 端子 网 路 由 信息 生成 路 由 , 并 定义 生成 路 由 
的 优先 级 和 tag 值 。 命 令 中 的 参数 说 明 如 下 : 

e preference preference-number: 可 选 参 数 ， 定 义 接收 对 
端子 网 路 由 后 ， 生 成 路 由 的 优先 级 ， 整 数 形式 ， 取 值 范 围 
是 王 255 

。 tag tag-value: 可 选 参数 ， 定 义 接 收 对 端子 网 路 由 后 ， 
生成 路 由 的 tag 值 , 整数 形式 , 取 值 范围 是 1 一 4294967295 
缺 省 情况 下 ， 系统 不 会 将 接收 的 对 端子 网 路 由 信息 生成 路 
由 ， 可 用 undo route accept 命令 取消 根据 接收 的 对 端子 网 
路 由 信息 生成 路 由 


如 果 两 端 均 可 成 为 KE 协商 发 起 方 (两 端 均 只 能 采用 Tunnel 接口 配置 ， 不 能 采用 
Tunnel-Template 接口 配置 ) ， 要 实现 相互 子 网 路 由 学 习 ， 需 要 在 两 新 同时 进行 表 4-7 和 


表 4-8 中 的 配置 。 


表 4-8 用 于 推送 的 子 网 路 由 信息 配置 步骤 





System-view 


例如 : <Huawei> system-view 


7 aaa 
例如 : [Huawei] aaa 
service-scheme 

3 Service-scheme-name 


例如 : [Huawei-aaa] service- 
Scheme srvschemel 


进入 系统 视图 








进入 aaa 视图 


创建 一 个 业务 方案 ， 并 进入 业务 方案 视图 。 参 数 service- 
scheme-name 用 来 指定 业务 方案 的 名 称 ， 字 符 串 形式 ， 区 
分 大 小 写 ， 长 度 范 围 是 I 一 32， 不 支持 空格 ， 不 能 配置 为 
6 _ 2 或 We 且 不 能 包含 字符 sf 人 人 *» 这 66 11 39 
6 人 5 "I 《1499 Om 

缺 省 情况 下 ， 设 备 中 没有 配置 业务 方案 ， 可 用 undo service- 
scheme service-scheme-name 命令 删除 指定 的 业务 方案 
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上 
配置 本 端子 网 信 县 。 总 部 与 分 支 采 用 虚拟 ral 接 口 广 
式 建立 IPSec 隧道 ， 当 总 部 网 关 在 Tunnel-template 接口 上 
应 用 安全 框架 ， 分支 网 关 在 Tunnel 接口 上 应 用 安全 框架 
route set acl acl-number 时 ， 通 过 本 命令 可 以 将 ACL 中 配置 的 源 IP 地 址 推送 给 对 
例如 : [Huawei-aaa-service- 端 ， 用 于 生成 子 网 路 由 信息 
svcscheme1] route set acl 3000 | 参数 acl-number 用 来 指定 推送 给 对 端的 高 级 ACL 编号 ， 
整数 形式 ， 取 值 范 围 是 3000 一 3999 
缺 省 情况 下 ， 系 统 未 配置 本 端子 网 信息 ， 可 用 undo route 
set acl 命令 恢复 缺 省 配置 


配置 绑 定 IPSec 的 接口 地 址 。 如 果 不 配置 本 命令 ， 即 使 IPSec 
Was ae 隧道 建立 成 功 ， 路 由 推送 成 功 ，IPSec 流量 也 无 法 互通 


例如 : [Huawei-aaa-service- 缺 省 情况 下 ， 系 统 未 配置 绑 定 IPSec 的 接口 地 址 ， 可 用 


sveschemel | route set interface 
undo route set interface 命令 恢复 缺 省 配置 


(2) 配置 子 网 路 由 信息 的 推送 和 接收 功能 

子 网 路 由 信息 的 推送 与 接收 功能 在 两 喘 设备 上 必须 成 对 配置 ， 即 当 本 端 配置 了 子 网 
路 由 信息 的 推送 功能 时 ， 对 端 需要 配置 子 网 路 由 信息 的 接收 功能 ， 才 能 实现 单 向 的 子 网 
路 由 信息 的 推送 功能 。 要 实现 分 支 与 总 部 之 间 双 辐 的 子 网 路 由 信息 的 推送 功能 ， 需 要 两 
端 同时 配置 子 网 路 由 信息 的 推送 和 接收 功能 。 当 然 两 端 要 事先 配置 好 本 端 可 用 于 推送 的 
子 网 路 由 信息 ， 有 具体 配置 方法 参见 表 4-8。 

子 网 路 由 信息 的 推送 功能 的 具体 配置 步骤 见 表 4-9， 子 网 路 由 信息 接收 功能 的 具体 
配置 步骤 见 表 4-10。 两 端 要 分 别 配置 。 





表 4-9 子 网 路 由 信息 al, dds 
2 说 明 
system-view 
例如 : <Huawei> system-view 进入 系统 视图 
ike peer peer-name 、 a 
例如 ;TBHawei 失 e peer stb 进入 要 推送 子 网 信息 的 对 等 体 视图 
pa 配置 IKE 对 等 体 使 用 的 IKE 协议 版 本 号 。 此 时 仅 可 使 用 


3 例如 : [Huawei-ike-peer-sub] v2 版 本 ， 所 以 要 关闭 v1 版 本 


undo version 1 






service-scheme service-scheme- 
name 





指定 IKE 对 等 体 引用 的 AAA 业务 方案 。 即 在 表 4-8 中 所 






例如 : [Huawei-ike-peer-sub] 配置 的 用 于 推送 的 子 网 路 由 信息 
service-scheme srvscheme!l | 
config-exchange set send 使 能 推送 本 端子 网 路 由 信息 的 功能 

3 例如 : [Huawei-ike-peer-sub] | 缺 省 情况 下 , 系统 不 推送 本 端子 网 路 由 信息 , 可 用 undo config- 
config-exchange set send exchange set send 命令 去 使 能 子 网 路 由 信息 的 推送 功能 

表 4-10 子 网 路 由 信 恩 接 收 功 和 的 配置 步骤 
| 7 
| System-yiew 进入 系统 视图 


例如 : <Huawei> system-view 
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和 人) 
S| We 
ike peer peer-name Po 用 区 

贱 如 Thuaoall le Deer dilb 进入 要 推送 子 网 信息 的 对 等 体 视图 
pa snk 配置 IKE 对 等 体 使 用 的 IKE 协议 版 本 号 。 此 时 仅 可 使 用 

2 例如 : [Huawei-ike-peer-sub] | ,> 版 本 ， 所 以 要 关闭 v1 版 本 
undo version 1 
config-exchange set accept 使 能 接收 对 端子 网 路 由 信息 的 功能 。 

4 例如 : [Huawei-ike-peer-sub] | 缺 省 情况 下 , 系统 不 接收 对 端子 网 路 由 信息 , 可 用 undo config- 
config-exchange set accept exchange set accept 命令 去 使 能 子 网 路 由 信息 的 接收 功能 
route accept [ preference 
preference-number | [ tag tag- 

8 value ] 根据 接收 的 对 端子 网 路 由 信息 生成 路 由 ， 并 定义 生成 路 由 


例如 : [Huawei-ike-peer-sub] 的 优先 级 和 tag 值 。 其 他 说 明 参 见 表 4-7 中 的 第 $ 步 
route accept preference 20 
tag 230 





4.1.7 基于 虚拟 Tunnel 接口 建立 IPSec 隧道 配置 示例 
如 图 4-3 所 示 ，RouterA 为 公司 分 支 网 关 ，RouterB 为 公司 总 部 网 关 ， 分 支 与 总 部 通 


过 公 网 建立 通信 


。 分 文子 网 为 10.1.1.0/24， 总 部 子 网 为 10.1.2.0/24。 现 公司 希望 对 分 支 


子 网 与 总 部 子 网 之 间 相 互 访问 的 流量 进行 安全 保护 。 本 示例 由 于 分 文 和 总 部 网 络 经 常 发 
生变 动 , 所 以 采用 基于 虚拟 Tunnel 接口 方式 建立 IPSec 隧道 , 对 Tunnel 接口 下 的 所 有 流 
量 进行 保护 ， 无 需 使 用 ACL 定义 需要 保护 的 数据 流 。 


Tunnel0/0/0 Tunnel-Template0 
192.168.1.1/24 192.168.1.2/24 






Router A © Router B 
分 支 网 关 总 部 网 关 
GE2/0/0 4 GE2/0/0 


10.1.2.1/24 


ER 


分 支 总 部 
4-3 基于 虚拟 Tunnel 接口 建立 IPSec 隧道 配置 示例 的 拓扑 结构 


假设 本 示例 中 所 有 AR 路 由 器 的 VRP 系统 均 为 V200R005 版 本 , 采用 IKEv1 协议 进 


行 协商 。 


1. 基本 配置 思路 分 析 

根据 4.1.1 节 介 绍 的 配置 任务 ， 再 结合 本 示例 实际 需求 可 得 出 ， 在 基于 虚拟 Tunnel 
接口 方式 建立 IPSec 隧道 时 ， 本 示例 的 基本 配置 思路 如 下 。 

(1) 配置 各 物理 接口 的 IP 地 址 ， 以 及 到 达 对 端 公 网 的 静态 路 由 (也 可 采用 动态 路 由 
配置 ， 但 此 时 要 包括 Tunnel 接口 所 在 子 网 )， 保 证 两 端 IPSec 设备 的 路 由 可 达 。 





这 里 之 所 以 只 提 到 到 达 对 端 公 网 的 路 由 , 是 因为 到 达 对 端 私 网 的 路 由 将 在 后 面 通 
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过 配置 以 Tunnel 接口 为 出 接口 的 静态 路 由 中 指定 。 


(2) 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 。 两 端的 IPSec 安全 提议 参数 配 
置 必 须 一 致 。 但 所 文 持 的 封装 模式 只 能 是 隧道 模式 ， 而 不 能 是 传输 模式 。 

(3) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 但 在 基于 虚拟 Tunnel 接 
口 建立 IPSec 隧道 方案 中 ， 无 需 配 置 本 端 卫 地 址 和 对 端 IP 地 址 ， 因 为 此 时 系统 会 自动 
以 Tunnel 接口 配置 的 源 IP 地 址 和 目的 卫 地 址 作为 本 端 和 对 端 IP 地 址 。 





本 示例 直接 采用 缺 省 IEv1 版 本 安全 提议 。 


(4) 配置 安全 框架 ， 并 引用 前 面 所 创建 的 安全 提议 和 IKE 对 等 体 ， 确 定 对 何 种 数据 
流 采 取 何 种 保护 方法 。 

(5) 在 Tunnel 接口 上 应 用 安全 框架 ， 使 接口 具有 IPSec 的 保护 功能 。 

(6) 配置 Tunnel 接口 的 转发 路 由 ， 将 需要 IPSec 保护 的 数据 流 引 到 Tunnel 接口 。 

2. 具体 配置 步 又 

(1) 分 别 在 RouterA 和 RouterB 上 配置 物理 接口 的 IP 地 址 ， 以 及 到 达 对 端 公 网 的 静 
态 路 由 。 

# 在 RouterA 上 配置 接口 的 IP 地 址 。 


<Huawei> system-view 

[Huawei] sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 

[RouterA-GigabitEthernet1/0/0] ip address 202.138.163.1 255.255.255.0 

[RouterA-GigabitEthernet1/0/0] quit 

[RouterA | interface gigabitethernet 2/0/0 

[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0 

[RouterA-GigabitEthernet2/0/0] quit 

# 在 RouterA 上 配置 到 对 端 公 网 的 静态 路 由 ， 此 处 假设 到 对 端的 下 一 跳 IP 地 址 (分 
支 机 构 端 ISP 设备 连接 RouterA 的 接口 的 卫 地址) 为 202.138.163.2。 

RouterA] ip route-static 202.138.162.0 24 202.138.163.2 

# 在 RouterB 上 配置 接口 的 卫 地 址 。 

<Huawel> system-view 

[Huawel] sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 

[RouterB-GigabitEthernet1/0/0] ip address 202.138.162.1 255.255.255.0 

[RouterB-GigabitEthermmet1/0/0] quit 

[RouterB| interface gigabitethernet 2/0/0 


[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 


# 在 RouterB 上 配置 到 对 端 公 网 的 静态 路 由 ， 此 处 假设 到 对 端 下 一 跳 卫 地 址 (为 公 
司 总 部 端 ISP 设备 连接 RouterB 的 接口 的 卫 地 址 ) 为 202.138.162.2。 
[RouterB] ip route-static 202.138.163.0 24 202.138.162.2 


(2) 分 别 在 RouterA 和 RouterB 上 创建 IPSec 安全 提议 。 

假设 此 处 只 创建 PSec 安全 提议 〈 名 称 假 设 均 为 pro1， 两 端的 IPSec 安全 提议 名 称 
也 可 不 同 )， 其 中 的 参数 配置 都 采用 缺 省 值 ( 缺 省 配置 采用 的 是 隧道 封装 模式 ， 可 以 满足 
基于 Tunnel 接口 建立 IPSec 隧道 情形 的 要 求 )。 
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“本 示例 各 AR 路 由 器 运行 V200R005 版 本 VRP 系统 ,此 时 IPsec 安全 提议 各 参数 
缺 省 值 为 : 安全 协议 为 ESP 协议 ，AH、ESP 认证 算法 均 为 MD5, ESP 加 窗 算 法 为 DES ， 
数据 封装 模式 为 隧道 模式 。 

[RouterA] ipsec proposal prol 

[RouterA-ipsec-proposal-prol] quit 


[RouterB] ipsec proposal prol 
[RouterB-ipsec-proposal-prol] quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec proposal 会 显示 所 配置 的 信息 ， 
以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 其 中 显示 的 参数 配置 均 为 缺 省 值 。 


[RouterA] display ipsec proposal name prol 


IPSec proposal name: prol 
Encapsulation mode: Tunnel 
Transform : esp-new 
ESP protocol : Authentication MD5-HMAC-96 
Encryption DES 


(3) 分 别 在 RouterA 和 RouterB 上 配置 IKE 对 等 体 。 

因为 本 示例 采用 了 系统 缺 省 的 IKE 安全 提议 ， 所 以 其 认证 方法 为 预 共 享 密 钥 ， 这 也 
就 要 求 在 两 端的 IPSec 设备 上 配置 相同 的 共享 密 钥 (假设 为 huawei)， 采 用 IKEv1 版 本 ， 
本 端 和 对 端 ID 类 型 均 为 卫 地址 ， 本 端 ID 类 型 可 不 用 配置 ， 因 为 缺 省 就 是 IP 地 址 。 





”本 示例 各 AR 路 由 器 运行 V200R005 版 本 VRP 系统 ， 此 时 IKE 安全 提议 各 参数 
缺 省 值 为 : pre-shared key 认证 方法 、HMAC-SHA-1 认证 算法 、DES-CBC 加 客 算 法 、groupl 
DH 组 。 


# 在 RouterA 上 配置 IKE 对 等 体 。 
[RouterA | ike peer spub group vl 
[RouterA-ike-peer-spub] pre-shared-key simple huawel 
[RouterA-ike-peer-spub] peer-id-type ip 
[RouterA-ike-peer-spub] quit 


[RouterB] ike peer spua v1 

[RouterB-ike-peer-spua| pre-shared-key simple huawel 

[RouterB-ike-peer-spub| peer-id-type ip 

[RouterB-ike-peer-spual| quit 

此 时 分 别 在 RouterA 和 RouterB 上 执行 display ike peer 会 显示 所 配置 的 IKE 对 等 体 
计 息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA | display ike peer name spub verbose 


Peer name : spub 
Pre-shared-key : huawel 
Proposal :5 
Local ID type :PP 


DPD : Disable 
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DPD mode : Periodic 
DPD idle time : 30 
DPD retransmit interval: 15 

DPD retry limit :3 

Peer ID type JP 

Host name 

Peer IP address 

VPN name 

Local IP address 

Local name 

Remote name 
NAT-traversal : Disable 


Configured IKE version : Version two 
PKI realm :NULL 
Inband OCSP : Disable 


(4) 分 别 在 RouterA 和 RouterB 上 创建 安全 框架 〈 两 设备 上 配置 的 安全 框架 名 称 可 
以 一 样 ， 也 可 以 不 一 样 )， 只 需 调 用 前 面 创建 的 IPSec 安全 提议 、 对 等 体 ， 其 他 可 选 配 置 
保留 缺 省 配置 即 可 。 


[RouterA] ipsec profile profilel 
[RouterA-ipsec-profile-profile1] proposal prol 
[RouterA-ipsec-profile-profilel |] ike-peer spub 
[RouterA-ipsec-profile-profilel] quit 

1 

\ 2 
[RouterB] ipsec profile profilel 
[RouterB-ipsec-profile-profile1] proposal prol 
[RouterB-ipsec-profile-profilel] ike-peer spua 
[RouterB-ipsec-profile-profile1] quit 


(5) 分 别 在 RouterA 和 RouterB 上 创建 Tunnel 接口 ， 配 置 IP 地 址 (通常 配置 一 个 
私 网 IP 地 址 ， 且 通常 两 端的 Tunnel 接口 的 卫 地 址 在 同一 IP 网 段 )， 并 封装 为 IPSec 模 
式 ， 然 后 配置 它 的 源 / 目 的 卫 地 址 (两 端 Tunnel 接口 的 源 和 目的 IP 地 址 配置 是 镜像 的 )， 
作为 重 封装 后 IP 报 文 的 源 、 目 的 卫 地 址 ， 并 应 用 前 面 配 置 的 安全 框架 。 


[RouterA] interface tunnel 0/0/0 

[RouterA-Tunnel0/0/0] ip address 192.168.1.1 255.255.255.0” #--- 配 置 Tunnel 接口 IP 地 址 

[RouterA-Tunnel0/0/0] tunnel-protocol ipsec #--- 配 置 Tunnel 接口 为 IPSec 封装 模式 

[RouterA-Tunnel0/0/0] source 202.138.163.1 #--- 指 定 本 端 IPSec 设备 RouterA 的 公 网 接口 卫 地 址 作为 隧道 源 耳 地址， 
与 对 端 设备 所 配置 的 隧道 目的 IP 地 址 一 致 

[RouterA-Tunnel0/0/0] destination 202.138.162.1 #-- 指 定 对 端 IPSec 设备 RouterB 的 公 网 接口 IP 地 址 作为 隧道 目的 
IP 地 址 , 与 对 端 设备 所 配置 的 隧道 源 IP 地 址 一 至 

[RouterA-Tunnel0/0/0] ipsec profile profilel 。” #--- 在 Tunnel 接口 上 应 用 前 面 配置 的 安全 框架 

[RouterA-Tunnel0/0/0] quit 


[RouterB] interface tunnel 0/0/0 

[RouterB-Tunnel0/0/0] ip address 192.168.1.2 255.255.255.0 
[RouterB-Tunnel0/0/0] tunnel-protocol ipsec 
[RouterB-Tunnel0/0/0] source 202.138.162.1 
[RouterB-Tunnel0/0/0] destination 202.138.163.1 
[RouterB-Tunnel0/0/0] ipsec profile profilel 
[RouterB-Tunnel0/0/0] quit 


此 时 在 RouterA 和 RouterB 上 执行 display ipsec profile 会 显示 所 配置 的 安全 框架 配置 
信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 里 面 可 选 参数 均 直 接 采 用 缺 省 配置 。 
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[RouterA] display ipsec profile 


一 一 一 一 一 一 一 一 
一 一 二 一 二 二 二 二 二 二 二 二 一 二 二 二 二 二 一 一 一 


IPSec profile : profilel 
Using interface: Tunnel0/0/0 


IPSec Profile Name :profilel 

Peer Name :spub 

PFS ”Group :0 (0:Disable 1:Groupl 2:Group2 5:Group$ 14:Group14) 
SecondsFlag :0 (0:Global 1:Local) 

SA Life Time Seconds :3600 

KilobytesFlag :0 (0:Global 1:Local) 

SA Life Kilobytes :1843200 

Anti-replay window size :32 

Qos pre-classify :0 (0:Disable 1:Enable) 


Number of IPSec Proposals :1 
IPSec Proposals Name :prol 


(6) 配置 Tunnel 接口 的 转发 路 由 , 将 需要 IPSec 保护 的 数据 流 引 到 Tunnel 接口 。 
为 Tunnel 接口 是 运行 PPP 协议 的 , 在 静态 路 由 配置 中 可 以 仅 指 定 出 接口 , 而 不 用 指定 下 
一 跳 IP 地 址 。 

# 在 RouterA 上 配置 以 本 地 Tunnel 接口 为 出 接口 , 到 达 公司 总 部 所 连接 私 网 10.1.2. 
0/24 的 静态 路 由 ， 相 当 于 指定 了 凡是 到 达 公 司 总 部 所 连接 的 私 网 的 数据 流 都 采用 该 
Tunnel 接口 转发 。 


[RouterA] ip route-static 10.1.2.0 255.255.255.0 tunnel 0/0/0 


# 在 RouterB 上 配置 以 本 地 Tunnel 接口 为 出 接口 ， 到 达 分 文 机 构 所 连接 私 网 10.1.1. 
0/24 的 静态 路 由 ， 相 当 于 指定 了 凡是 到 达 分 文 机 构 所 连接 的 私 网 的 数据 流 都 采用 该 
Tunnel 接口 转发 。 

[RouterB] ip route-static 10.1.1.0 255.255.255.0 tunnel 0/0/0 

3. 配置 结果 验证 

配置 成 功 后 ， 可 分 别 在 RouterA 和 RouterB 上 执行 display ike sa v2 命令 ， 查 看 两 设 
备 上 此 时 已 建立 的 IKE SA 和 IPSec SA 信息 ， 验 证 配置 结果 。 如 果 配 置 成 功 的 话 ， 应 该 
可 以 同时 看 到 IKE 第 一 阶段 建立 的 IKE SA 和 第 二 阶段 建立 的 IPSec SA。 以 下 是 在 
RouterA 上 执行 该 命令 的 输出 示例 ， 从 中 可 以 看 出 ， 两 个 阶段 的 SA 部 建 立成 功 了 ,表示 
IPSec 隧道 已 建立 成 功 。 

[RouterA| display ike sa v1 ; | \ 

Conn-ID Peer VPN Flag(s) Phase | 


CC 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


12 202.138.1631 0 RDIST 2 #--- 这 是 IKE 第 二 阶段 建立 的 IPSec SA 
11 ”202.138.1631 0 RDIST 1 #--- 这 是 IKE 第 一 阶段 建立 的 IKE SA 


Flag Description: 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
还 可 以 分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa 命令 查看 最 终 建 立 的 IPSec 
SA 信息 。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
[RouterA] display ipsec sa 


Ce 
一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Interface: Tunnel0/0/0 
Path MTU: 1500 
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IPSec profile name: "profilel" 


Mode : PROF-ISAKMP 
Connection ID :12 
Encapsulation mode: Tunnel 
Tunnel local “202.138.163 .1 
Tunnel remote :202.138.162.1 


Qos pre-classify : Disable 


[Outbound ESP SAs] 
SPI: 1599804596 (0xSfSb14b4) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/2489 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 2169616882 (0x8151b9f2) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDs 
SA remaining key duration (bytes/sec): 1887436800/2489 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


4.1.8 ”基于 虚拟 隧道 模板 接口 建立 IPSec 隧道 配置 示例 

如 图 4-4 所 示 ， 企 业 分 支 与 总 部 通过 公 网 建立 通信 ， 并 且 分 支 和 总 部 网 络 经 常 发 生 
变动 。 企 业 希 望 对 分 支 与 总 部 之 间 相 互 访问 的 流量 进行 安全 保护 ， 并 且 IPSec 配置 不 随 
网 络 变动 而 受 影 啊 。 


Tunnel0/0/0 Tunnel-Template0 
192.168.1.1/24 192.168.1.2/24 








Router A Router B 
GE2/0/0 GE2/0/0 
10.1.1.1/24 10.1.2.1/24 


分 区 总 部 
图 4-4 ”基于 虚拟 隧道 模板 接口 建立 PSec 隧道 配置 示例 的 拓扑 结构 


假设 本 示例 中 的 AR 路 由 器 运行 的 VRP 系统 版 本 为 V200R008。 

1. 基本 配置 思路 分 析 

本 示例 与 4.1.7 节 所 介绍 的 配置 示例 一 个 最 大 的 不 同 是 分 支 和 总 部 网 络 经 常 发 生变 
动 ， 如 果 采 用 路 由 来 配置 子 网 路 由 ， 可 能 要 经 常 进行 改动 ， 此 时 采用 基于 虚拟 隧道 模板 
接口 方式 来 建立 IPSec 隧道 ， 通 过 子 网 路 由 信息 的 推送 /接收 功能 来 实现 两 端 相 互 学 习 对 
端的 子 网 路 由 的 配置 方式 更 为 简便 ， 这 样 两 端 只 需 定义 本 端 需要 IPSec 保护 的 子 网 信息 
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和 Tunnel 接口 或 障 道 模板 接口 即 可 。 

本 示例 的 基本 配置 思路 如 下 。 

(1) 配置 两 端 设备 的 各 物理 接口 的 卫 地 址 ， 以 及 到 达 对 端 公 网 的 静态 路 由 ， 保 证 两 
端 公 网 路 由 可 达 。 

(2) 在 两 端 设备 上 配置 ACL， 定 义 本 端 需要 IPSec 保护 的 子 网 信息 ， 用 于 同 对 痕 进 
行 推送 。 

(3) 在 两 端 设备 上 配置 AAA 业务 方案 ， 定 义 本 端 需 要 向 对 端 推送 的 子 网 路 由 信息 
和 IPSec 接口 地 址 。 

(4) 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 。 

($) 配置 IKE 安全 提议 ， 确 定 进行 IKE SA 协商 时 的 基本 安全 参数 。 

(6) 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 ， 包 括 配置 子 网 路 由 信息 推 
送 和 接收 功能 ， 用 以 学 习 对 端子 网 路 由 。 

(7) 配置 安全 框架 ， 并 引用 安全 提议 和 IKE 对 等 体 ， 确 定 对 哪些 数据 流 采 取 哪 种 保 
护 方 法 。 

(8) 总 部 在 Tunnel-Template 接口 上 应 用 安全 框架 ， 分 文 在 Tunnel 接口 上 应 用 安全 
框架 ， 使 接口 具有 IPSec 的 保护 功能 。 

2.， 具体 配置 步骤 

(1) 分 别 在 RouterA 和 RouterB 上 配置 各 物理 接口 的 卫 地址 ， 以 及 到 达 对 端 公 网 的 
静态 路 由 ， 以 实现 两 端 公 网 路 由 可 达 。 

# RouterA 上 的 配置 。 此 处 假设 到 达 对 端 公 网 的 下 一 跳 地 址 为 202.138.163.2。 


<Huawei> system-view 

[Huawei| sysname RouterA 

[RouterA | interface gigabitethernet 1/0/0 
[RouterA-GigabltEthernet1/0/0] ip address 202.138.163.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA | interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0| ip address 10.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 

[RouterA] ip route-static 202.138.162.0 255.255.255.0 202.138.163.2 


# RouterB 上 的 配置 。 此 处 假设 到 达 对 端 公 网 下 一 跳 地 址 为 202.138.162.2。 


<Huawel> system-view 

[Huawel] sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 202.138.162.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 

[RouterB] ip route-static 202.138.163.0 255.255.255.0 202.138.162.2 


(2) 分 别 在 RouterA 和 RouterB 上 配置 高 级 了 了 ACL， 定 义 本 端 需 要 IPSec 保护 的 子 
网 信息 ， 仅 指定 源 地 址 段 。 
# RouterA 上 的 配置 。 


[RouterA| acl number 3001 
[RouterA-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 
[RouterA-acl-adv-3001] quit 
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# RouterB 上 的 配置 。 


[RouterB] acl number 3001 
[RouterB-acl-adv-3001] rule permit ip source 10.1.2.0 0.0.0.255 
[RouterB-acl-adv-3001] quit 


(3) 分 别 在 RouterA 和 RouterB 上 配置 AAA 业务 方案 ,定义 本 端 需要 IPSec 推送 的 
子 网 路 由 信息 。 
# RouterA 上 的 配置 。 


[RouterA] aaa 

[RouterA-aaa] service-scheme Schemetest 

[RouterA-aaa-service-schemetest] route set acl 3001 #--- 指 定 要 推送 的 本 地 子 网 信息 
[RouterA-aaa-service-schemetest] route set interface #--- 配 置 绑 定 本 地 Tunnel 接口 
[RouterA-aaa-service-schemetest] quit 

[RouterA-aaal quit 


# RouterB 上 的 配置 。 


[RouterB] aaa 

[RouterB-aaa] service-scheme schemetest 
[RouterB-aaa-service-schemetest| route set acl 3001 
[RouterB-aaa-service-schemetest| route set interface 
[RouterB-aaa-service-schemetest| quit 

[RouterB-aaaj quit 


(4) 分 别 在 RouterA 和 RouterB 上 创建 IPSec 安全 提议 。 假 设 采 用 的 ESP 认证 算法 
为 SHA2-256，ESP 加 密 算法 为 AES-128， 其 他 参数 采用 缺 省 配置 。 

# RouterA 上 的 配置 。 

[RouterA] ipsec proposal prop! 

[RouterA-ipsec-proposal-propl| esp authentication-algorithm sha2-256 

[RouterA-ipsec-proposal-prop1] esp encryption-algorithm aes-128 

[RouterA-ipsec-proposal-prop1| quit 

# RouterB 上 的 配置 。 

[RouterB| ipsec proposal propl 

[RouterB-ipsec-proposal-prop1] esp authentication-algorithm sha2-256 

[RouterB-ipsec-proposal-prop1] esp encryption-algorithm aes-128 

[RouterB-ipsec-proposal-prop1] quit 


此 时 分 别 在 RouterA 和 RouterB 上 执行 display ipsec proposal 命令 会 显示 所 配置 的 
IPSec 安全 提议 信息 。 

(5) 分 别 在 RouterA 和 RouterB 上 配置 IKE 安全 提议 。 假 设 新 创建 一 个 序 与 为 5 的 
IKE 安全 提议 ， 认 证 算法 为 SHA2-256， 加 密 算 法 为 AES-128，DH 为 group14， 其 他 参 
数 采 用 缺 省 配置 。 

# RouterA 上 的 配置 。 


[RouterA | ike proposal 5 

[RouterA-ike-proposal-5] authentication-algorithm sha2-256 
[RouterA-ike-proposal-$5] encryption-algorithm aes-128 
[RouterA-ike-proposal-5] dh group14 
[RouterA-ike-proposal-$] quit 


# 在 RouterB 上 配置 IKE 安全 提议 。 


[RouterB] ike proposal 5 

[RouterB-ike-proposal-5|] authentication-algorithm sha2-2S6 
[RouterB-ike-proposal-5] encryption-algorithm aes-128 
[RouterB-ike-proposal-5| dh group14 
[RouterB-ike-proposal-5] quit 
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(6) 分 别 在 RouterA 和 RouterB 上 配置 IKE 安全 提议 。 引 用 前 面 配 置 的 IKE 安全 提 
议 ， 配 置 预 共享 密 钥 (两 端 要 一 臻 )， 同 时 配置 子 网 路 由 信息 推送 /接收 功能 。 
# RouterA 上 的 配置 。 


[RouterA | ike peer peer2 

[RouterA-ike-peer-peer2] ike-proposal 5 #--- 引 用 前 面 配 置 的 IKE 安全 提议 
[RouterA-ike-peer-peer2] pre-shared-key cipher Huawei@1234 #--- 配 置 隧 道 建 立 预 共 享 密 钥 
[RouterA-ike-peer-peer2] service-scheme schemetest #--- 引 用 前 面 配 置 的 AAA 方案 
[RouterA-ike-peer-peer2] config-exchange set accept #--- 使 能 接收 对 端子 网 路 由 信息 功能 
[RouterA-ike-peer-peer2] config-exchange set send #--- 使 能 本 端 发 送 子 网 路 由 信息 功能 
[RouterA-ike-peer-peer2] route accept #--- 根 据 接 收 的 对 端子 网 路 由 信息 生成 路 由 
[RouterA-ike-peer-peer2| quit 


# RouterB 上 的 配置 。 


[RouterB] ike peer peer2 

[RouterB-ike-peer-peer2] ike-proposal 5 
[RouterB-ike-peer-peer2] pre-shared-key cipher HuawelQ@1234 
[RouterB-ike-peer-peer2] service-scheme Schemetest 
[RouterB-ike-peer-peer2] config-exchange set accept 
[RouterB-ike-peer-peer2] config-exchange set send 
[RouterB-ike-peer-peer2| route accept 

[RouterB-ike-peer-peer2] quit 


(7) 分 别 在 RouterA 和 RouterB 上 创建 安全 框架 ， 引 用 前 面 配 置 的 IPSec 安全 提议 
和 IKE 对 等 体 。 
# RouterA 上 的 配置 。 


[RouterA] ipsec profile profilel 
[RouterA-ipsec-profile-profile1] proposal propl 
[RouterA-ipsec-profile-profile1] ike-peer peer2 
[RouterA-ipsec-profile-profilel| quit 


# ”RouterB 上 的 配置 。 


[RouterB] ipsec profile profilel 
[RouterB-ipsec-profile-profile1] proposal propl 
[RouterB-ipsec-profile-profilel | ike-peer peer2 
[RouterB-ipsec-profile-profile1] quit 


(8) 分 别 在 RouterA 和 RouterB 的 Tunnel 或 Tunnel-template 接口 上 应 用 各 自 配 置 的 
安全 框架 。 同 时 配置 IP 地 址 、IPSec 封装 、 隧 道 源 接口 、 目 的 卫 地址 (Tunnel-template 
接口 上 不 能 配置 ) 等 参数 。 

# RouterA 上 的 配置 。 


[RouterA | interface tunnel 0/0/0 

[RouterA-Tunnel0/0/0] ip address 192.168.1.1 255.255.255.0 
[RouterA-Tunnel0/0/0] tunnel-protocol ipsec 
[RouterA-Tunnel0/0/0] source gigabitethernet1/0/0 
[RouterA-Tunnel0/0/0] destination 202.138.162.1 
[RouterA-Tunnel0/0/0] ipsec profile profilel 
[RouterA-Tunnel0/0/0] quit 


# 在 RouterB 的 接口 上 应 用 安全 框架 。 

[RoutcrB| interface tunnel-template 0 

[RouterB-Tunnel-Template0] ip address 192.168.1.2 255.255.255.255 
[RouterB-Tunnel-Template0] tunnel-protocol ipsec 
[RouterB-Tunnel-Template0] source gigabitethernet1/0/0 
[RouterB-Tunnel-Template0] ipsec profile profilel 
[RouterB-Tunnel-Template0] quit 


208 华为 VPN 学 习 指 南 


# 此 时 在 RouterA 和 RouterB 上 执行 display ipsec profile 会 显示 所 配置 的 安全 框架 
信息 。 

3. 配置 结果 验证 

配置 成 功 后 ,分 别 在 RouterA 和 RouterB 上 执行 display ike sa 会 显示 最 终 建立 的 IKE 
SA 和 IPSec SA 信息 。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 

[RouterA| display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
12 202.138.162.1 0 RDIST v2:2 
11 202.138.1621 0 RDIST v2 


Number of SA entries :2 
Number of SA entries of all cpu : 2 


Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP 
M--ACTIVE S$S--STANDBY A--ALONE NEG--NEGOTIATING 


分 别 在 RouterA 和 RouterB 上 执行 命令 display ip routing-table 会 显示 路 由 信息 (以 
下 只 列 出 示例 中 推送 成 功 的 子 网 路 由 信息 , 参见 输出 信息 中 的 粗 体 字 部 分 )， 从 中 可 以 看 
出 是 否 成 功 学 习 到 对 闯 的 子 网 路 由 。 

[RouterA] display ip routing-table 

Route Flags: R - relay, D - download to fib 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Routing Tables: Public 


Destinations : 16 Routes : 16 
Destination/Mask Protlo “Pre (ost Flags NextHop Interface 
10.1.2.0/24 Unr 0 0 D 192.168.1.2 ”Tunnel0/0/0 


[RouterB] display ip routing-table 
Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 16 Routes : 16 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.1.1.0/24 Unr 62 0 RD 192.168.1.1 Tunnel-Template0 


4.2 配置 采用 Efficient VPN 策略 建立 IPSec 隧道 


两 个 对 等 体 之 间 要 建立 IPSec 隧道 ， 采 用 基于 ACL 或 基于 虚拟 隧道 接口 方式 建立 
IPSec 隧道 的 话 ， 必 须 在 两 个 对 等 体 上 做 大 量 的 IPSec 配置 ， 包 括 配 置 IKE 协商 认证 算 
法 、IKE 协商 加 密 算 法 、Diffie-Hellman、IPSec Proposal 等 。 在 包含 数 百 个 站 点 的 大 型 
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网 络 场景 中 , 各 分 支 机 构 设备 上 的 IPSec 配置 将 非常 复杂 。 这 就 是 本 节 要 介绍 的 Efficient 
VPN 人 简称 EVPN) 方案 的 引入 背景 ， 因 为 在 Efficient VPN 中 主要 的 配置 集中 在 企业 
总 部 网 关上 ， 分 支 上 需要 做 的 配置 将 非常 少 ， 大 大 减少 了 分 文 网 关 设 备 上 的 配置 工作 
量 ， 降 低 了 配置 难度 。 





“Efficient VPN 功能 的 使 用 需要 得 到 华为 License 授权 ， 需 要 购买 对 应 系列 产品 的 
安全 业务 增值 包 ， 缺 省 情况 下 ， 设 备 的 EfGcient VPN 功能 受 限 无 法 使 用 。 


4.2.1 Efficient VPN 简介 


Efficient VPN 采用 Client/Server 结构 ， 分 文 机 构 网 关 为 Client， 也 称 Remote 端 ， 总 
部 网 关 称 为 Server 端 。 在 这 种 Efficient VPN 策略 中 ，Remote 设备 仅 需 配置 接 入 Server 
闹 的 IP 地 址 、 预 共享 密 钥 等 PSec 隧道 这 些 极 少数 必 配 参数 即 可 ,而 像 IKE 协商 认证 算 
法 、IKE 协商 加 密 算法 、IPSec Proposal 等 大 部 分 IPSec VPN 参数 都 可 以 在 Server 端 进行 
预定 义 。Remote 设备 发 起 IPSec 隧道 协商 建立 时 ，Remote 设备 将 所 文 持 的 IKE 协商 认 
证 能 力 、IKE 协商 认证 的 加 解密 能 力 、IPSec Proposal 等 参数 全 部 发 往 Server，Server 端 
根据 管理 员 预 配置 的 IPSec 隧道 参数 与 Remote 设 备 上 报 的 IPSec 能 力 数 据 协 商 建 立 IPSec 
隧道 。 这 样 , 在 Efficient VPN Remote 端 , 管理 员 所 做 的 配置 就 非常 少 , 从 而 简化 了 IPSec 
配置 。 

Efficient VPN 集 略 也 是 需要 使 用 IKE 协议 在 两 站 IPSec 设备 间 协 商 建立 IKE SA 和 
IPSec SA， 只 不 过 这 种 建立 方式 是 将 IPSec 及 其 他 相应 配置 集中 在 Server 端 ，Remote 端 
只 需 配置 好 基本 的 参数 。 当 Remote 端 发 起 协商 时 ，Server 端 会 将 IPSec 的 相关 属性 及 其 
他 网 络 资源 “推送 ”给 Remote 端 ， 最 终 在 两 端 建立 IPSec 隧道 。 这 种 IPSec 隧道 建立 方 
式 中 ， 分 文 机 构 总 是 作为 发 起 方 ， 而 企业 总 部 总 是 作为 响应 方 ， 主 要 配置 集中 在 企业 总 
部 ， 简 化 了 分 支 机 构 网 关 的 IPSec 和 其 他 网 络 资源 的 配置 和 维护 。 

在 这 种 IPSec 隧道 建立 方式 中 ，Remote 端 要 配置 Efficient VPN 策略 ，Server 端 要 配 
置 策 略 模板 《〈 即 采用 策略 模板 方式 建立 安全 策略 )， 以 适应 不 同 分 文 机 构 用 户 采 用 不 同 
Efficient VPN 筑 略 的 接 入 需求 。 在 当前 的 华为 VRP 系统 版 本 中 , 在 一 些 方面 还 存在 一 定 
的 限制 。 如 针对 IKEv1，Efficient VPN 有 如 下 限制 。 

。 不 文 持 Main Mode 〈 主 模式 )， 仅 文 持 Aggressive Mode 〈 野 蛮 模 式 )。 

。 密 钥 交换 算法 仅 使 用 DH2。 

。IKE 协商 时 ， 固 定 选择 3DES 加 密 算法 。 中 华工 区 

。IKE 协商 时 ， 固 定 选择 SHA1 认证 算法 。 

针对 IKEv2，Efficient VPN 的 密 钥 交换 算法 仅 使 用 DH2; 针对 IPSec 封装 模式 固定 
采用 隧道 模式 ， 不 文 持 传 输 模式 ;针对 安全 协议 ， 仅 支持 ESP 协议 ， 不 支持 AH 协议 。 
这 些 在 配置 时 要 特别 注意 。 


4.2.2 ”Efficient VPN 的 运行 模式 


目前 在 华为 AR G3 系列 路 由 器 的 IPSec Efficient VPN 中 支持 四 种 运行 模式 。 
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1. Client 模式 

在 Client 运行 模式 中 ，Remote 端 会 向 Server 端 申 请 一 个 (注意 ， 仅 一 个 ) IP 地 址 
(此 时 Server 端 需 配 置 IP 地 址 池 )， 获 取 这 个 IP 地 址 后 ，Remote 设备 的 内 部 会 自动 创 
建 一 个 Loopback 接口 并 分 配 这 个 申请 到 的 卫 地 址 。 这 个 IP 地 址 是 用 于 为 Remote 客户 
端 通过 NAT/PAT 转换 功能 ， 把 用 户 的 私 网 卫 地 址 转换 成 这 个 申请 到 的 IP 地 址 ， 再 通过 
这 个 IP 地 址 与 Server 端 建立 IPSec 隧道 ， 实 现 分 支 用 户 对 企业 总 部 资源 的 访问 。 

【经 验 提示 】〗 由 于 在 Client 模式 中 ， 分 支 下 的 所 有 用 户 都 共享 一 个 IP 地 址 进行 PAT 
地 址 转换 (是 一 对 多 的 地 址 转换 方式 ), 而 且 每 个 用 户 最 终 分 配 的 传输 层 端 口号 不 是 固定 
的 ， 这 也 使 得 在 Client 模式 中 ， 仅 可 以 由 分 支 主 动向 企业 总 部 发 起 单 向 访问 ， 而 不 能 由 
企业 总 部 用 户主 动向 分 支 用 户 发 起 访问 。 因 为 来 自 企 业 总 部 的 报 文 在 到 达 分 支 网 关 时 无 
法 确定 最 终 要 转换 的 目的 主机 IP 地 址 。 

Client 模式 的 Efficient VPN 网 络 结构 如 图 4-5 所 示 ， 一 般 用 于 出 差 员 工 或 小 的 分 支 
机 构 通过 私 网 接 入 总 部 网 络 。 因 为 在 这 种 运行 模式 中 ，Remote 端 所 有 用 户 访问 企业 总 部 
子 网 时 都 需要 经 过 PAT 地 址 、 端 口 转换 ， 需 要 消耗 设备 上 的 额外 资源 。 


192.168.0.5/32 
SOHO 办 公 









172.16.0.1/24 
192.168.0.6/32 Remote 
SOHO 办 公 


Internet 





Remote 
173.16.0.5/32 
差 员 工 


出 差 员 工 


Remote 


图 4-5 ”Client 模式 基本 结构 


如 果 出 差 员 工 是 通过 软件 (如 华为 EVPN 客户 端 ) 连接 企业 总 部 子 网 时 ，EVPN 客 
户 软件 会 在 用 户 PC 上 建立 一 个 虚拟 网 卡 ， 而 且 会 为 该 虚拟 网 卡 分 配 从 Server 病 申 请 的 
IP 地 址 ， 也 会 使 用 这 个 IP 地 址 与 Server 端 连 接 。 

Client 运行 模式 文 持 Server 站 的 DNS 服务 右 地 址 、WINS 服务 右 地 址 的 请 求 和 推送 。 
而 且 Client 模式 无 需 考虑 Remote 疹 与 Server 站 ， 或 其 他 Remote 端 下 挂 用 户 IP 地 址 的 
冲突 问题 ， 因 为 用 户 在 访问 企业 总 部 时 的 卫 地 址 都 将 转换 成 同一 个 IP 地 址 (但 使 用 的 
传输 层 端 口 不 一 样 ) 。 

2. Network 模式 

在 Network 运行 模式 中 ，Remote 端 网 络 与 Server 端 网 络 的 IP 地 址 需要 事先 进行 统 
一 规划 , 不 能 有 和 重生， 因为 Remote 不 会 向 Server 申请 卫 地 址 ， 也 不 自动 启用 NATVPAT 
功能 ， 直接 使 用 Remote 端 用 户 原 有 IP 地 址 与 Server 端 建立 IPSec 隧道 。 

Network 运行 模式 一 般 用 于 分 支 和 总 部 IP 地 址 已 统一 规划 的 场景 ， 如 图 4-6 所 示 ， 
但 也 支持 DNS 服务 器 地 址 、WINS 服务 器 地 址 的 请 求 和 推送 ， 这 部 分 功能 与 Client 模式 
保持 一 致 。 
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3. Network-plus 模式 

与 Network 模式 相 比 ，Network-plus 模式 中 Remote 端 还 会 癌 Server 问 申 请 IP 地 址 
(此 时 Server 端 也 需 配置 IP 地 址 池 )， 但 所 获取 的 卫 地 址 只 用 于 总 部 对 分 文 机 构 进行 Ping、 
Telnet 等 管理 维护 ， 不 用 于 分 配给 用 户主 机 。 很 显然 ， 这 时 分 文 机 构 和 公司 总 部 IP 地址 
也 要 事先 统一 规划 ， 否 则 就 可 能 造成 IP 地 址 冲突 。 


173.16.1.X 







173.16.0.X 


Server 


Remote 


图 4-6 Network 模式 基本 结构 


4. Network-auto-cfg 模式 

Network-auto-cfg 运行 模式 与 Network-plus 运行 模式 相 比 ，Network-auto-cfg 模式 中 
Remote 端 还 会 向 Server 端 申请 人 P 地 址 池 /( 注 意 , 此 时 不 是 一 个 IP 地 址 了 , 而 一 整个 IP 
地 址 池 )， 这 个 IP 地 址 池 用 于 给 用 户 分 配 IP 地 址 。 这 种 模式 主要 用 于 移动 接 入 情形 ， 如 
使 用 手机 或 平板 电脑 与 企业 总 部 建立 IPSec 隧道 连接 时 ， 为 这 些 设备 分 配 IP 地 址 ， 因 为 
这 些 设 备 原 来 并 没有 配置 IP 地 址 。 

Server 端 除 了 可 以 癌 Remote 端 推送 : DNS 域名 、DNS 服务 器 地 址 、WINS 服务 器 
地 址 等 网 络 资源 外 ， 还 可 将 使 用 ACL 定义 的 总 部 网 络 信息 推送 给 Remote 只 ， 以 限定 允 
许 分 文子 网 用 户 访 问 的 总 部 子 网 范围 ， 报 文中 目的 IP 地址 不 在 这 个 ACL 定义 的 网 络 信 
县 范围 内 的 分 文子 网 流量 将 不 会 经 过 IPSec 隧道 ， 而 是 采用 正常 Internet 访问 方式 。 但 
Network-auto-cfg 运行 模式 不 文 持 ACL 推送 。 


4.2.3 ”配置 任务 


前 面 说 了 ， 在 Efficient VPN 中 把 IPSec 隧道 分 成 了 Remote 问 和 Server 端 ， 而 且 已 
知道 ，IPSec 及 其 他 相关 配置 主要 集中 在 Server 端 ( 总 部 网 关 )，Remote 端 (分 支 网 关 ) 
只 需要 配置 好 基本 参数 。 下 面 来 具体 介绍 Remote 端 和 Server 端 各 目 所 涉及 的 主要 配置 
任务 : 

1. Remote 端的 主要 配置 任务 

Remote 端 上 仅 需 配置 接 入 Server 端的 IP 地 址 、 预 共享 密 钥 等 IPSec 隧道 必 配 参数 。 
这 些 参数 配置 总 体 分 为 两 部 分 : IPSec 基本 参数 配置 和 IPSec 可 选 参数 的 配置 。 

。 基本 参数 包括 : 创建 Efficient VPN 策略 、 指 定 Efficient VPN 的 运行 模式 、 接 入 
Server 端的 IP 地 址 、 预 共享 密 钥 或 数字 证 书 等 。 

e。 可 选 参数 包括 : 认证 方法 〈 只 能 是 预 共 享 密 钥 认 证 或 数字 签名 认证 )、 本 端 ID 类 
型 、IPSec 隧道 的 本 端 地 址 ， 对 端 IP 地 址 、 报 文 分 片 功 能 、IPSec 抗 重 放 窗 口 大 小 等 。 
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这 些 可 选 参数 在 Remote 端 和 Server 端 均 可 配置 。 只 在 一 端 配置 时 ， 以 一 端 配置 的 
为 准 ; 如 果 两 端 都 配置 时 ， 两 端 需要 配置 相同 的 参数 才能 协商 成 功 。 

从 以 上 可 以 看 出 , 采用 Efficient VPN 策略 建立 IPSec 隧道 时 ，Remote 端的 配置 极为 
简单 ， 不 需要 再 配置 IPSec 安全 提议 、 安 全 策略 、IKE 安全 提议 、IKE 对 等 体 了 。 

2. Server 端的 配置 任务 

Server 并 参数 配置 分 为 两 部 分 : 网 络 资源 参数 配置 和 IPSec 参数 的 配置 。IPSec 参数 
部 分 就 与 采用 策略 模板 方式 建立 IPSec 隧道 方案 的 配置 方法 一 样 ,包括 IPSec 安全 提议 、 
IKE 安全 提议 、IKE 对 等 体 、 通 过 策略 模板 创建 安全 策略 ， 在 接口 下 应 用 安全 策略 组 等 。 

网 络 资源 参数 包括 IP 地 址 、 域 名 、DNS 服务 器 地 址 、WINS 服务 器 地 址 等 ，Server 
端 可 以 通过 IPSec 隧道 将 配置 的 网 络 资源 参数 推送 给 Remote 端 。 

4-7 列 出 了 Remote 只 和 Server 在 不 同 的 Remote 端 运 行 模式 下 各 目 必 选 的 一 些 配 
置 任务 比较 ， 以 便 大 家 参考 。 


EfficientVPN 策 略 : 包 | 
括 EfficientVPN 运 行 模 | 
式 、Server 端 的 公 网 
地 址 、 认 证 密 钥 


A et ， ， Select (在 IKEv1 对 等 体 中 配置 ) 


一 vs cs | Ye 
提议 、IKE 安 全 提议 、 
IKE 对 等 体 、 安 全 策略 


AAA 业 务 方案 推送 : 
包括 可 选 的 IP 地址 池 、 
WINS 服 务 器 、 更 新 下 


安全 生 同 组 


说 明 :Yes 代 表 需 要 配置 ，No 代 表 不 需要 配置 ，Select 代 表 可 选 配置 
图 4-7 Remote 端 和 Server 端 必 选 配置 任务 比较 





4.2.4 ”配置 Remote 端 


在 Remote 奖 可 以 进行 的 配置 包括 以 下 三 部 分 。 

e。 IPSec 基本 参数 配置 

e (可 选 ) 在 Efficient VPN 策略 视图 下 配置 可 选 参数 

e。 (可 选 ) 在 系统 视图 下 配置 可 选 扩展 参数 

下 面 对 以 上 三 方面 的 配置 任务 的 具体 配置 方法 分 别 予 以 介绍 。 
1. IPSec 基本 参数 配置 

在 Remote 端 ， 配 置 IPSec 基本 参数 的 具体 步骤 如 表 4-11 所 示 。 
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表 4-11 Remote 端 IPSec 基本 参数 的 配置 步骤 





system-view | 
1 和 二 几 
例如 : <Huawei> system-view 进入 系统 视图 


(三 选 一 ) 创 建 一 个 Client 模式 的 IPSec Efficient VPN 策略 ， 
并 进入 Efficient VPN 策略 视图 。 参 数 efficient-vpn-name 指 
定 Efficient VPN 策略 的 名 称 , 字符 串 格 式 , 长 度 范围 是 1 一 
12， 区 分 大 小 写 ， 不 能 包含 “? ”和 空格 

Client 模式 中 Remote 端 以 问 总 部 申请 一 个 IP 的 地 址 与 
Server 病 建 并 IPSec 隧道 

【说 明 】 因 为 在 Client 模式 中 ， 分 支 发 往 总 部 报 文中 的 源 IP 
地 址 为 分 支 网 关 向 总 部 网 关 申 请 的 IP 地 址 ， 所 以 不 需要 通 
过 引用 ACL 来 过 滤 报 文 的 源 卫 地 址 

创建 一 个 Network 或 Network-plus 模式 
的 IPSec Efficient VPN 策略 ， 并 进入 
Efficient VPN 策略 视图 

Network 模式 中 Remote 端 不 会 向 Server 
站 申请 IP 地 址 ， 而 是 用 原 有 IP 地 址 与 
总 部 建立 IPSec 隧道 ， 因 此 不 自动 启用 
NAT 转换 功能 















ipsec efficient-vpn efficient- 
vpn-name mode client 

例如 : [Huawei] ipsec efficient- 
vpn vpnl mode client 






ipsec efficient-vpn efficient- 
vpn-name mode { network | 
network-plus } 


例如 : [Huawei] ipsec efficient- 























(三 选 一 ) 创建 











. vpn vpnl mode network Network 模式 或 | 与 Network 模式 相 比 ， Network-plus 模 
者 Network-plus | 式 中 Remote 端 还 会 向 Server 端 申 请 IP 
模式 的 IPSec | 地 址 , 获取 的 卫 地 址 只 用 于 总 部 对 分 支 
Efficient VPN 东 | 进行 Ping、Telnet 等 管理 维护 ，Remote 
略 , 并 引用 ACL | 端 不 自动 启用 NAT 转换 功能 
在 Efficient VPN 策略 中 引用 的 高 级 
. ACL。 该 命令 用 于 通过 ACL 方式 来 指定 
BOCES ODE 需要 IPSec 保护 的 数据 流 。 实际 应 用 中 ， 
例如 : [Huawei-ipsec-efficient- 首先 需要 通过 配置 ACL 的 规则 定义 数 
vpn-vpnl1|] security acl 3101 据 流 范围 ， 再 在 IPSec 策略 中 引用 该 
ACL， 从 而 起 到 保护 该 数据 流 的 作用 
ipsec efficient-vpn efficient- (三 选 一 ) 创建 一 个 Network-auto-cfg 模式 的 IPSec Efficient 
vpn-name mode network- VPN 策略 ,并 进入 Efficient VPN 策略 视图 。Network-auto- 
auto-cfg cfg 模式 只 在 IKEv1 中 支持 
例如 : [Huawei] ipsec efficient- |【 说 明 ]】 因 为 在 Network-auto-cfg 模式 下 ，Remote 端 用 户 使 
vpn vpnl mode mode network- | 用 的 IP 地址 是 由 Server 端 分 配 的 ,所 以 也 不 需要 通过 引用 
auto-cfg ACL 来 过 滤 报 文 的 源 卫 地 址 
配置 IKE 协商 时 的 对 端 IP 地 址 或 域名 。 该 命令 用 来 配置 
Efficient VPN 策略 中 IKE 协商 时 的 对 端 地 址 ， 包 括 对 端 卫 
地 址 和 对 端 域名 两 种 方式 。 如 果 配 置 的 对 端 地 址 是 域名 ， 
则 可 以 通过 以 下 两 种 方式 获取 对 端的 IP 地 址 ，(1) 静态 方 
remote-address { ip-address | 式 : 用 户 手工 配置 域名 和 卫 地址 的 对 应 关系 ，(2) 动态 方 
a i, 式 : 通过 DNS 域名 服务 器 解析 获取 对 端的 IP 地 址 。 命 令 
3 例如 : [Huawei-ipsec-efficient- 中 的 参数 和 选项 说 明 如 下 : 


vpn-vpnl] remote-address 10. 


1.2.1 v1 。 ip-address: 二 选 一 参数 ,指定 对 端的 IP 地址 , 为 公 网 人 P 


地 址 

e host-name: 二 选 一 参数 ,指定 对 端 公 网 IP 地 址 对 应 的 域 
名 ， 字 符 串 格式 ， 长 度 范围 是 1~254。 区 分 大 小 写 ， 字 符 
串 中 不 能 包含 “? ”和 空格 
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( 续 表 ) 
说 明 





e v1: 二 选 一 选项 ， 指 定 两 端 使 用 IKEv1 版 本 

e V2: 二 选 一 选项 ， 指 定 两 端 使 用 IKEv2 版 本 

在 Remote 端 重复 执行 该 命令 ， 可 以 配置 两 个 IKE 协商 时 
的 对 端 卫 地 址 或 域名 

【说 明 】 一 般 情 况 下 ， 由 于 总 部 只 有 一 台 设备 供 分支 网 关 接 
入 ， 所 以 只 需 配 置 一 个 remote-address。 但 为 了 提高 网 络 的 
可 靠 性 ， 总 部 可 提供 两 台 设 备 供 分 支 网 关 (Remote 端 ) 接 
入 。 此 时 ， 分 支 网 关上 可 以 配置 2 个 对 端 IKE 对 等 体 的 地 
址 或 域名 ， 分 支 网 关 首 先 采 用 第 一 个 地 址 或 域名 与 总 部 网 
关 建 立 IKE 连接 ， 若 第 一 个 IKE 连接 建立 失败 ,采用 第 二 
个 地 址 或 域名 建立 IKE 连接 。 如 果 配 置 2 个 对 端 IKE 对 等 
体 的 卫 地 址 或 域名 , 则 必须 保证 配置 的 2 个 remote-address 
类 型 和 使 用 IKE 版 本 必须 都 一 致 





remote-address { ip-address | 
host-name } {v1 | v2} 







例如 : [Huawei-ipsec-efficient- 
vpn-vpnl1|] remote-address 10. 
| 













pre-shared-key { simple | 
cipher } key 

例如 : [Huawei-ipsec-efficient- 
vpn-vpnl| pre-shared-key 
cipher huawel 






(二 选 一 ) 配置 采用 预 共 享 密 钥 认 证 时 ，IKE 对 等 体 与 对 端 
共享 的 预 共 至 密 钥 。 两 端的 预 共 享 密 钥 配 置 必须 一 致 








配置 采用 数字 证 书 认 证 时 ，Efficient 
VPN 策略 的 数字 证 书 所 属 的 PKI 域 (已 
通过 pki realm realm-name 命令 配置 )， 
字符 串 类 型 ， 取 值 范围 是 1 一 15， 区 分 
大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 空 
格 。 根 据 PKI 域 下 的 配置 信息 获取 本 端 
的 CA 证 书 和 设备 证 书 

缺 省 情况 下 ,设备 存在 名 称 为 default 的 
PKI 域 ， 且 该 域 只 能 修改 不 能 删除 ， 可 
通过 undo pki realm realm-name 命令 


取消 配置 的 PKI 域 





pki realm realm-name 
例如 : [Huawei-ipsec-efficient- 
vpn-vpnl] pki realm testl 










《一 入 一 本 定 
采用 rsa-signature 
key 认证 方法 的 
PKI 域 ， 并 获取 
数字 证 书 






(可 选 ) 配置 采用 数字 证 书 认证 时 ， 指 定 
通过 IKEv2 协议 承载 OCSP 请 求 和 
OCSP 啊 应 进行 在 线 证 书 状态 认证 

【 注意】 该 命令 只 在 当 Server 端 引用 的 
IKE 对 等 体 使 用 IKEv2 版 本 时 支持 。 且 只 
有 当 创 建 的 PKI 域 中 配置 的 certificate- 
check 命令 选择 为 ocsp 选项 时 ， 执 行 该 
命令 才 有 效 

缺 省 情况 下 ， 系 统 没 有 通过 IKEv2 协议 
承载 OCSP 请 求 / 啊 应 进行 在 线 证 书 状 态 
认证 ， 可 用 undo inband ocsp 命令 取消 
通过 IKE 协议 承载 OCSP 请 求 / 啊 应 进行 
在 线 证 书 状态 认证 












inband ocsp 
例如 : [Huawei-ipsec-efficient- 
vpn-vpnl] inband ocsp 
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说 明 
(可 选 ) 配置 采用 数字 证 书 认证 时 ， 指定 
通过 IKEv2 协 议 承 载 CRL 注销 列表 请 求 
和 CRL 注销 列表 啊 应 

【注意 】 该 命令 只 在 当 Server 端 引 用 的 
IKE 对 等 体 使 用 玉 Ev2 版 本 时 支持 。 且 只 
有 当 创建 的 PKI 域 中 配置 的 certificate- 













(二 选 一 ) 配置 
采用 rsa-signature 













inband crl 





















4 例如 : [Huawei-ipsec-efficient- | key 认证 方法 的 | check 命令 选择 为 crl 选项 时 , 执行 该 命 
vpn-vpn1] inband crl PKI 域 ， 并 获取 | 令 才 有 效 。 仅 V200R006 及 以 后 版 本 
数字 证 书 VRP 系统 支持 
缺 省 情况 下 , 系统 没有 配置 IKE v2 承载 
CRL 汪 用 列表 用 求 和 啊 应 ， 可 用 undo 
inband crl 命令 取消 IKEv2 协议 承载 
CRL 注销 列表 请 求 和 响应 的 配置 
(可 选 ) 配置 IKE 密 钥 协商 时 采用 的 DH 密 钥 交换 参数 。 
dh { groupl | group2 | groups | DH 密 钥 交换 组 安全 级 别 由 高 到 低 的 顺序 是 group21 > 
| group14 | group19 | group20 | group20 > group19 > groupl4 > group5 > group2 > group1。 
5 | |group21 } 仅 V200R006 及 以 后 版 本 VRP 系统 支持 
例如 : [Huawei-ipsec-efficient- | 缺 省 情况 下 ，IKE 密 钥 协 商 时 采用 的 DH 密 钥 交换 参数 为 
vpn-vpn1| dh group2 group14, 可 用 undo dh 命令 恢复 IKE 阶段 1 密 钥 协 商 时 所 
使 用 的 DH 组 为 缺 省 值 
quit 
6 例如 : [Huawei-ipsec-efficient- | 返回 系统 视图 
vpn-vpnl| quit 
interface interface-type interface- 
0 进入 接口 视图 。 此 接口 为 本 端 公 网 物理 接口 
例如 : [Huawei] interface 
Ethernet 1/0/0 
ipsec efficient-vpn efficient- 在 以 上 接口 上 应 用 前 面 创建 的 Efficient VPN 策略 
vpn-name 【注意 】〗】 如 果 需 要 通过 Efficient VPN 策略 在 分 支 与 总 部 间 建 


例如 : [Huawei-Ethernet1/0/0] 
ipsec efficient-vpn vpnl 


立 IPSec 隧道 ， 则 分 支 网 关 需 要 应 用 Efficient VPN 策略 ， 
而 总 部 网 关 需 要 应 用 模板 方式 的 安全 策略 
2. 在 Remote 端 Efficient VPN 策略 视图 下 配置 可 选 参 数 
在 Remote 新 Efficient VPN 策略 视图 下 可 配置 的 可 选 参数 如 表 4-12 所 示 。 各 参数 配 
置 没 有 先后 次 序 之 分 ， 且 均 为 可 选 配置 。 


表 4-12 在 Remote 站 下 fficient VPN 策略 视图 下 可 选 参 数 的 配置 步 又 





system-view 、 
,| 进入 系统 视图 


例如 : <Huawei> system-view 








ipsec efficient-vpn efficient- 
vpn-name [mode { client | 
network | network-plus | 
network-auto-cfg }] 


例如 : [Huawei] ipsec efficient- 
vpn vpnl mode client 


进入 Efficient VPN 策略 视 
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( 续 表 ) 





明 


配置 IKE 安全 联盟 协 商 时 使 用 的 认证 方法 。 命令 中 的 选项 
说 明 如 下 : 
authentication-method { pre- ® pre-share: 一 克 一 选 坝 ， 指定 认证 方法 为 pre-shared key 
share | rsa-signature } ( 即 预 共享 密 钥 ) 认证 
3 例如 : [Huawei-ipsec-efficient- | 。 rsa-signature: 一 选 一 选项 ,指定 认证 方法 为 rsa-signature 
vpn-vpn1] authentication- key《〈 即 数字 证 书 ， 或 称 RSA 签名 ) 认证 
人 缺 省 情况 下 ，IKE 安全 联盟 协商 使 用 的 认证 方法 为 pre- 
shared key， 可 用 undo authentication-method 命令 恢复 缺 
省 配置 





配置 IKE 协商 时 本 端 ID 类 型 。 命 令 中 的 选项 说 明 如 下 。 
。dn: 多 选 一 选项 ， 指 IKE 协商 时 本 问 ID 类 型 为 可 识别 
名 称 DN 形式 。 此 时 需要 选择 数字 证 书 认 证 方法 ， 即 引用 
的 IKE 安全 提议 authentication-method 命令 中 必须 选择 
rsa-signature 选项 。 

。 ip: 多 选 一 选项 , 指 IKE 协商 时 本 端 ID 类 型 为 IP 地 址 。 
。 key-id: 多 选 一 选项 ， 指 定 IKE 协商 时 本 端 ID 类 型 为 
key-id 形式 。 当 与 思科 设备 相连 时 必须 选择 本 选项 ， 同 时 
也 必须 通过 下 一 步 配 置 的 service-scheme 命令 指定 引用 思 
科 设 备 的 业务 方案 。 仅 V200R006 及 以 后 版 本 VRP 系统 
local-id-type { dn | ip | key-id | | 文 持 。 

fqdn | user-fqdn } 。fqdn: 多 选 一 选项 ， 指 定 IKE 协商 时 本 端 ID 类 型 为 完 
例如 : [Huawei-ipsec-efficient- | 整 名 称 形式 《有 域 时 必须 带 上 域名 )。 

vpn-vpnl| local-id-type fqdn 。 user-fqdn: 多 选 一 选项 ， 指 定 IKE 协商 时 本 端 ID 类 型 
为 用 户 域 名 形式 。 

【说 明 】 在 IKEv1 版 本 中 ， 要 求 本 端 ID 类 型 与 对 端 ID 类 
型 一 致 ， 在 IKEv2 版 本 中 ， 不 要 求 本 端 ID 类 型 与 对 端 ID 
类 型 一 致 ， 可 分 别 通过 命令 指定 本 端 ID 类 型 和 对 端 ID 类 
型 ， 但 本 端 配置 的 local-id-type 要 匹配 对 端 配置 的 peer- 
id-type, 而 不 同 于 IKEv1 版 本 中 , 两 端 配置 的 local-id-type 
参数 需要 匹配 。 

缺 省 情况 下 ，IKE 协商 时 本 端 ID 类 型 为 卫 地 址 形式 ， 可 
用 undo 和 -type 命令 恢复 IKE 协商 时 本 端的 ID 类 型 
为 缺 省 设 


配置 在 Efficient VPN 策略 中 绑 定 AAA 业务 方案 ， 指 定 
Server 端 配置 的 业务 方案 (注意 ， 不 是 本 地 配置 的 AAA 
方案 )， 以 获取 授权 ; 同时 必须 在 local-id-type 命令 中 选择 
key-id 选项 ， 否 则 配置 不 生效 。 若 是 以 Server 端 引用 的 业 
EO 务 方案 来 获取 授权 ， 则 无 需 配 置 此 步骤 。 仅 V200R006 及 
5 Wore en me 以 后 版 本 VRP 系统 支持 
例如 Em eo 当 Server 端 配置 了 aaa authorization 命令 来 采用 AAA 
RADIUS 服务 器 授权 时 ， 可 以 通过 service-scheme 命令 指 
定 Server 端 配置 的 AAA 域 
缺 省 情况 下 ， 系 统 未 引用 业务 方案 ， 可 用 undo service- 
scheme 命令 删除 IKE 对 等 体 引用 的 业务 方案 
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dpd msg { seq-hash-notify | 
seq-notify-hash } 

例如 : [Huawei-ipsec-efficient- 
vpn-vpnl] dpd msg seq-hash- 
notify 


tunnel local ip-address 


例如 : [Huawei-ipsec-efficient- 
vpn-vpnl| tunnel local 10.1. 
1.1 


remote-id id 
例如 : [Huawei--ipsec-efficient- 
vpn-vpnl | remote-name VRP31 


sa binding vpn-instance vpn- 
instance-name 

例如 : [Huawei-ipsec-efficient- 
vpn-vpn1 | sa binding vpn- 
instance vpna 


qos group 90s-eroup-value 
例如 : [Huawei-ipsec-efficient- 
vpn-vpn1l] qos group 10 


qos pre-classify 


例如 : [Huawei-ipsec-efficient- 
vpn-vpn1| qos pre-classify 





a 


( 续 表 ) 


配置 DPD 报 文 中 的 载荷 顺序 ， 仅 Y200R006 及 以 后 版 本 
VRP 系统 支持 。 命 令 中 的 选项 说 明 如 下 : 

。 seq-hash-notify: 二 选 一 选项 ， 指 定 DPD 报 文中 的 载 克 
顺序 是 hash-notify 

。 seq-notify-hash: 二 选 一 选项 ， 指 定 DPD 报 文中 的 载 人 三 
顺序 是 notify-hash 

【说 明 】DPD 报 文 是 一 个 双向 交换 的 消息 ， 该 消息 包含 通 
知 载荷 ( notify) 和 Hash 载荷 (hash ) 。 发 起 者 发 送 的 通 
知 载荷 携带 R-U-THERE 消息 , 相当 于 一 个 Hello 报 文 ， 响 
应 者 发 送 的 通知 载荷 携带 R-U-THERE-ACK 消息 , 相当 于 
一 个 ACK 报 文 。 不 同 设备 缺 省 发 出 的 DPD 报 文 的 载荷 顺 
序 可 能 不 同 ， 而 两 端 IKE 对 等 体 的 DPD 报 文 中 的 载荷 顺 
享 需要 一 致 ， 否 则 对 等 体 存活 检测 功能 无 效 
缺 省 情况 下 ，DPD 报 文中 的 载 三 顺序 为 notify-hash， 可 用 
undo dpd msg 命令 将 IKE 对 等 体 的 DPD 报 文中 的 载荷 顺 
序 恢复 为 缺 省 配置 

配置 IPSec 隧道 的 本 端 IP 地 址 ， 即 本 端 公 网 IP 地 址 ， 用 
于 配置 IPSec 隧道 的 起 点 ， 一 般 无 需 配 置 

【说 明 】 当 Efficient VPN 策略 实际 绑 定 的 接口 IP 地 址 不 固 
定 或 无 法 预知 时 ， 可 以 执行 本 命令 指定 设备 上 的 其 他 接口 
(如 LoopBack 接口 ) 的 IP 地址 作为 IPSec 隧道 的 本 端 IP 
地 址 ; 当 本 端 与 对 端 存在 等 价 路 由 时 ， 可 以 执行 本 命令 来 
指定 IPSec 隧道 的 本 端 IP 地 址 ， 使 IPSec 报 文 从 指定 接口 
出 去 

缺 省 情况 下 ， 系 统 没有 配置 IPSec 隧道 的 本 端 地 址 ， 可 用 
undo tunnel local 命令 删除 IPSec 隧道 的 本 端 地 址 

配置 IKE 协 商 时 的 对 端 ID 值 , 字 符 串 格式 , 长度 范围 是 1 一 
255， 区 分 大 小 写 ， 不 支持 空格 ， 支 持 特 殊 字符 (如 !、@、 
#、$、% 等 ), 区 分 大 小 写 。 字符 串 内 容 可 以 是 DN、FQDN、 
USER-FQDN 

缺 省 情况 下 , 系统 没有 配置 IKE 协商 时 对 端 ID, 可 用 undo 
remote-id 命令 取消 上 述 配 置 

指定 IPSec 隧道 绑 定 的 VPN 实例 。 通过 配置 该 功能 指定 隧 
道 对 端 所 属 的 VPN， 从 而 知道 报 文 的 发 送 接口 ， 并 将 报 文 
发 送出 去 ， 可 以 实现 IPSec 的 VPN 多 实例 连接 。 
缺 省 情况 下 , IPSec 隧道 没有 绑 定 VPN 实例 , 可 用 undo sa 
binding vpn-instance 命令 删除 IPSec 隧道 绑 定 的 VPN 实 
例 

配置 IPSec 报 文 所 属 的 QoS 组 , 整数 形式 , 取 值 范围 是 1 一 
99。 仅 V200R006 及 以 后 版 本 VRP 系统 支持 。 
缺 省 情况 下 ， 系 统 没 有 配置 IPSec 报 文 所 属 的 QoS 组 ， 可 
用 nndo qos group 命令 删除 IPSec 报 文 所 属 的 QoS 组 
配置 对 原始 报 文 信息 进行 预 提取 。 

缺 省 情况 下 ， 系 统 没有 配置 对 原始 报 文 信息 的 预 提取 ， 
可 用 undo qos pre-classify 命令 取消 对 原始 报 文 信息 的 预 
提取 
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( 续 表 ) 
| 令 说 明 人 
pfs { dh-groupl | dh-group2 | 
dh-group5 | dh-group14 | dh- | 设置 本 端 发 起 协商 时 使 用 的 PFS 特性 。 
1 | group19 | dh-group20 | dh- | 缺 省 情况 下 ， 本 端 发 起 协商 时 没有 使 用 PFS 特性 ， 可 用 


group21} undo pfs 命令 配置 IPSec 隧道 本 新 在 协商 时 不 使 用 PFS 
例如 : [Huawei-ipsec-efficient- | 特性 

vpn-vpnl1| pfs dh-groupl 

配置 IPSec 抗 重 放 窗 口 的 大 小 ， 可 取 值 为 32、64、128、 
anti-replay window window- 256、512、1024， 单 位 为 bit。 , 


Se 缺 省 情况 下 , 在 V200R006 以 前 版 本 中 , IPSec 抗 重 放 窗 口 


13 例如 : [Huawei-ipsec-efficient- 、 | 
Se gd a a 的 大 小 是 32 位 ， 在 V200R006 及 以 后 版 本 中 为 1024 位 ， 
256 可 用 undo anti-replay window 命令 恢复 IPSec 抗 重 放 窗 口 


的 大 小 为 缺 省 值 

3. 在 Remote 端 系统 视图 下 配置 可 选 扩 展 参 数 

在 Remote 端 系统 视图 下 配置 可 配置 的 可 选 扩展 参数 包括 以 下 这 些 。 

。 配置 对 IPSec 解 封装 报 文 进行 ACL 检查 。 

。 配置 报 文 分 片 功能 。 

。 配置 全 局 SA 生存 周期 。 

。 配置 抗 重 放 功 能 。 

这 几 个 方面 可 选 扩 展 功 能 的 配置 方法 与 在 本 书 第 2 章 的 2.4.5 节 和 第 3 章 的 3.1.5 市 
有 具体 介绍 ， 配 置 方 法 完全 一 样 ， 均 在 系统 视图 下 进行 配置 即 可 。 


4.2.5 ”配置 Server 毅 


Server 端 参 数 配 置 也 分 为 两 部 分 : 网 络 资源 参数 配置 和 IPSec 参数 的 配置 。 
。 网 络 资源 参数 包括 IP 地 址 、 域名 、DNS 服务 器 地 址 、WINS 服务 器 地 址 等 , Server 
端 可 以 通过 IPSec 隧道 将 配置 的 网 络 资源 参数 推送 给 Remote 冰 。 
。 IPSec 参数 配置 必须 采用 策略 模板 方式 建立 SA， 但 是 对 于 茶 些 参数 有 配置 限制 ， 
具体 将 在 介绍 具体 配置 步骤 时 说 明 。 
1. 网 络 资源 参数 配置 
Server 端 网 络 资源 参数 的 具体 配置 步骤 如 表 4-13 所 示 。 
表 4-13 网 络 资源 参数 的 配置 步骤 
System-view 
例如 : <Huawei> system-view 


进入 系统 视图 


配置 全 局 IP 地 址 池 , 为 Remote 端 推送 建立 IPSec 隧道 使 用 的 IP 地 址 (Client 模式 或 者 Network-plus 
模式 必 选 ) 









创建 一 个 全 局 地 址 池 。 参数 jp-pool-name 用 来 指定 地 址 池 名 
称 ， 字 符 串 形式 ， 不 支持 空格 ， 长 度 范 围 是 1 一 64， 可 以 设 
定 为 包含 数字 、 字 母 和 下 划 线 “ ”或 “.” 的 组 合 。 

Remote 端 E 人 hcient VPN 策略 配置 为 Client 模式 、Network- 
plus 或 者 Network-auto-cfg 模式 时 ， 需 要 Server 端 推送 IP 
地 址 ， 该 步骤 为 必 选 ， 而 Network 模式 不 需要 配置 。 





ip pool ip-pool-name 
例如 : [Huawei] ip pool abc 
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ip pool ip-pool-name 


例如 : [Huawei] ip pool abc 


network ip-address [ mask 
{ mask | mask-length } | 


例如 : [Huawei-ip-pool-abc] 
network 192.1.1.0 mask 24 


gateway-list ip-address 
&<1-8> 

例如 : [Huawei-ip-pool-abc] 
gateway-list 1.1.1.1 





quit 


例如 : [Huawei-ip-pool-abc] quit 


配置 要 推送 的 资源 


6 


aaa 


例如 : 


[Huawel]l aaa 


service-scheme service- 
scheme-name 

例如 : [Huawei-aaa] service- 
Scheme Srvschemel 


ip-pool pool-name |[ move-to 
new-position | 
例如 : 


sveschemel| ip-pool pooll 


[Huawel-aaa-Service- 
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( 续 表 ) 





缺 省 情况 下 没有 创建 全 局 地 址 池 ， 可 用 undo ip i 
ip-pool-name 命令 删除 创建 的 全 局 地 址 池 , 但 如 果 全 局 地 址 
池 的 下 地 址 正在 使 用 ， 则 不 能 删除 该 全 局 地 址 池 


配置 全 局 地 址 池 下 可 分 配 的 网 段 地 址 。 命 令 中 的 参数 说 明 
如 下 。 

e。 ip-address: 指定 网 络 地 址 段 ， 是 一 个 网 络 地 址 。 

e mask: 二 选 一 可 选 参数 ， 指 定 IP 地 址 池 的 网 络 掩 码 ， 不 
指定 该 参数 时 ， 使 用 对 应 地 址 段 的 目 然 掩 码 。 

e mask-length: 二 选 一 可 选 参数 ， 指 定 网 络 的 掩 码 长 度 ， 
不 指定 该 参数 时 ， 使 用 对 应 地 址 段 自然 掩 码 对 应 的 掩 码 
长 度 。 

每 个 卫 地 址 池 只 能 配置 一 个 网 段 ， 如 果 系 统 需要 多 网 段 卫 
地 址 ， 则 需要 配置 多 个 地 址 池 。 

缺 省 情况 下 ， 系 统 未 配置 全 局 地 址 池 下 动态 分 配 的 I 地 
址 范围 ， 可 用 undo _ network 命令 删除 地 址 池 中 的 网 段 地 
址 , 但 如 果 该 地 址 池 的 IP 地址 已经 使 用 , 则 不 能 删除 该 地 
址 池 


配置 全 局 地 址 池 下 的 出 口 网 关 IP 地 址 (必须 与 IP 地 址 池 中 
的 卫 地 址 在 同一 IP 网 段 )， 最 多 配置 8 个 


返回 系统 视图 


进入 AAA 视图 


创建 一 个 业务 方案 ， 并 进入 业务 方案 视图 。 参 数 service- 
scheme-name 用 来 指定 业务 方案 的 名 称 ， 字 符 串 形式 ， 不 文 持 
空格 , 长 度 范围 是 1 一 32， 区 分 大 小 写 ， 且 不 能 包含 以 下 字符 : 
ee a 4 ss 请 “全 4613》 Op 66 米 ? 66 11》》 A 
缺 省 情况 下 ,设备 中 没有 配置 业务 方案 , 可 用 undo service- 
Scheme Service-scheme- -Name Hh 命令 删除 指 定 业 务 方案 


(可 选 ) 设置 AAA 业务 方案 下 的 卫 地 址 池 。 命 令 中 的 参数 

说 明 如 下 。 

e pool-name: 指定 全 局 IP 地 址 池 名 称 ， 该 六 IP 地 址 池 就 是 
前 面 创建 的 全 局 地 址 池 。 当 Remote Y 端 配置 采用 Client 模式 、 

Network-plus 或 者 Network-auto-cfg 模式 时 需要 配置 。 

。 move-to new-position: 可 选项 ,指定 移动 业务 方案 下 已 配 

置 的 地 址 池 的 位 置信 和 息 。 该 参数 取 值 范围 与 域 下 已 配置 的 

地 址 池 数 相关 《比如 域 下 已 配置 10 个 地 址 池 ， 则 该 参数 取 

值 范 围 为 1 一 10)， 最 大 取 值 范围 为 1 一 16。 仅 用 于 

Network-auto-cfg 模式 。 

缺 省 情况 下 ， 业务 方案 没有 设置 任何 地 址 池 可 用 undo ip- 

pool [pool-name ] 命令 删除 业务 方案 下 所 有 或 指定 的 地 址 池 
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(可 选 ) 配置 业务 方案 下 的 URL 路 和 泽 及 版 本 号 。 该 命 命令 用 
于 Server 并 推送 URL 路 径 ， 提 供 含 有 版 本 文件 、 补 丁 文件 
和 配置 文件 的 服务 占 的 路 径 ， 供 Remote 端 下 载 ， 实 现 分 文 
auto-update urlurl-string 。 ”| 设备 的 自动 升级 。 命 令 中 的 参数 说 明 如 下 。 

version DOR 。urlstring: 指定 URL 路 径 ， 字 符 串 形式 ， 区 分 大 小 写 ， 
例如 : [Huawei-aaa-service- 长 度 范围 是 1 一 208。 

one 全 从 | 。vwrsion mmber: 指定 版本 号, 吉 数 形式, 取 从 轩 是 1~ 
10.10.1/test version 1 4294967294。 

缺 省 情况 下 ， 业 务 方案 没有 配置 URL 路 径 及 版 本 号 ， 可 用 
undo auto-update url 命令 删除 业务 方案 下 的 URL 路 径 及 
版 本 瑟 

dns-name domain-name (可 选 ) 配置 业务 方案 使 用 的 DNS 域名 ， 字 符 串 形式 ， 区 
例如 : [Huawei-aaa-service- 分 大 小 写 ， 长 度 范围 是 1~255， 例 如 huawei.com。 
svcscheme1] dns-name huawei，| 缺 省 情况 下 , 业务 方案 没有 配置 DNS 缺 省 域名 , 可 用 undo 
com dns-name 命令 删除 业务 方案 下 的 DNS 缺 省 域名 

(可 选 ) 配置 业务 方案 使 用 的 主 / 备 DNS 服务 器 。 


例如 : [Huawei-aaa-service- 缺 省 情况 下 ， 业 务 方案 没有 配置 主 / 备 DNS 服务 器 ， 可 用 
Eee dns 10.10.10.1 undo dns [ 刀 -ad1ess] 命 命令 删除 业务 方案 下 的 主 / 备 DNS 服 
(可 选 ) 配置 业务 方案 使 用 的 主 / 备 WINS 服务 器 。 


缺 省 情况 下 ， 业 务 方案 没有 配置 主 / 备 DNS 服务 器 ， 可 用 


oe hi pot undo wins [ip-address] 命令 删除 业务 方案 下 的 主 / 备 WINS 
| 服务 器 





dns ip-address [ secondary | 


Wins ip-address [ secondary | 





2.IPSec 参数 配置 

Server 端 要 采用 策略 模板 方式 配置 完整 的 IPSec 参数 ， 包 括 以 下 几 个 部 分 。 

(1) 配置 IPSec 安全 提议 

Efficient VPN 策略 中 ，IPSec 安全 提议 只 文 持 报 文 的 封装 形式 为 隧道 模式 ，IPSec 安 
全 提议 只 支持 ESP 安全 协议 ， 并 且 认 证 算法 不 文 持 sm3 参数 ， 加 密 算法 不 文 持 sml 参 
数 。 但 在 使 用 IKEv1 版 本 时 , IPSec 支持 不 认证 和 不 加 密 功 能 ; 使 用 IKEv2 版 本 时 , IPSec 
不 支持 不 认证 和 不 加 密 功 能 。 具 体 配 置 方 法 参见 本 书 第 2 章 2.4.3 市。 

(2) 配置 IKE 安全 提议 

Efficient VPN 策略 中 ，IKE 密 钥 协商 时 采用 的 Diffie-Hellman 组 必须 为 group2， 使 
用 IKEv1 版 本 时 ，IKE 安全 提议 使 用 的 加 密 算法 必须 为 3des-cbc， 认 证 算法 必须 为 md5 
或 者 shal 。 具 体 配 置 方法 参见 本 书 第 3 章 3.1.2 节 。 

(3) 配置 IKE 对 等 体 

在 Efficient VPN 策略 中 ， 使 用 IKEv1 版 本 时 ， 协 商 模式 必须 设置 为 aggressive (对 
蛮 模 式 ) 方式 。Server 端 还 可 在 IKEv1 (CIKEv2 版 本 不 支持 ) 版 本 的 对 等 体 视 图 下 通过 
resource acl acl-number 命令 实现 ACL 推送 功能 , 将 使 用 ACL 定义 的 总 部 网 络 信 息 推 送 
给 Remote 端 ， 限 定 了 人 允许 分 支 子 网 访问 的 总 部 子 网 范围 ， 目 的 地 不 在 ACL 定义 的 网 络 
信息 范围 内 的 分 支 子 网 流量 将 不 会 经 过 IPSec 隧道 ,但 Network-auto-cfg 模式 不 支持 ACL 
推送 。 
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在 Efficient VPN 策略 中 ，IKE 对 等 体 下 通过 执行 service-scheme 命令 绑 定 已 创建 的 
AAA 业务 方案 ， 实 现 业 务 方案 中 配置 的 IP 地 址 、 域 名 、DNS 服务 器 地 址 、WINS 服务 
器 地 址 等 网 络 资源 的 推送 。 

具体 的 IKE 对 等 体 配 置 方法 参见 本 书 第 3 章 3.1.3 市 。 

(4) 采用 策略 模板 方式 配置 安全 策略 ， 具 体 参见 第 3 章 3.1.4 市 表 3-6 

(5) 可 选 扩展 参数 

。 配置 对 IPSec 解 封 装 报 文 进行 ACL 检查 ， 参 见 第 2 章 2.4.5 节 第 3 点 。 

e 配置 报 文 分 片 功能 ， 参 见 第 2 章 2.4.5 节 第 3 所 。 

。 配置 全 局 SA 生存 周期 ， 参 见 第 3 章 3.1.5 市 第 4 所 。 

。 配置 抗 重 放 功能 ， 参 见 第 3 章 3.1.5 节 第 5 点 。 

。 配置 保护 相同 数据 流 的 新 用 户 快速 接 入 总 部 功能 ， 参 见 第 3 章 3.1.5 市 第 7 所。 

(6) 在 接口 上 应 用 指定 的 安全 策略 组 ， 参 见 第 2 章 2.4.6 市 


4.2.6 ”Efficient VPN Client 模式 建立 IPSec 隧道 配置 示例 


如 图 4-8 所 示 ，RouterA 为 企业 远程 小 型 分 文 网 关 ，RouterB 为 企业 总 部 网 关 ， 分 文 
与 总 部 通过 公 网 建立 通信 ,并且 总 部 与 分 支 的 网 络 卫 地 址 没有 做 统一 规划 。 现 企 业 和 希望 
对 分 支 子 网 与 总 部 子 网 之 间 相 互 访 问 的 流量 进行 安全 保护 ， 并 且 分 文 网 关 配 置 能 够 尽量 
简单 。RouterA 要 癌 RouterB 申请 IP 地 址 用 于 建立 IPSec 隧道 ， 同 时 申请 DNS 域名 、 
DNS 服务 器 地 址 和 WINS 服务 器 地 址 ， 提 供给 分 文子 网 使 用 。 














RouterA = RouterB 
Remote Internet Server 
分 支 网 光 GE1/0/0 GE1/0/0 总 部 网 光 
GE2/0/0 60.1.1.1/24 60.1.2.1/24 GE2/0/0 


10.1.1.1/24 


E01.2.124 
WE IPSec Tunnel 天 5 


分 支 子 网 总 部 子 网 
图 4-8 ”Efficient VPN Client 模式 建立 IPSec 隧道 配置 示例 的 拓扑 结构 


本 示例 中 的 各 AR 路 由 器 运行 V200R005 版 本 ，IKE 采用 v2 版 本 。 

1. 基本 配置 思路 分 析 

本 示例 中 的 分 支 机 构 的 网 络 规模 比较 小 , 且 分 文 与 总 部 网 络 的 IP 地 址 未 做 统一 规划 
(有 可 能 有 重 毒 )。 现 要 求 分 支 向 总 部 申请 IP 地 址 来 建立 IPSec 隧道 ， 并 且 要 求 分 支 上 的 
配置 尽量 简单 ， 所 以 可 以 采用 Efficient VPN Client 模式 进行 配置 。 

根据 前 面 介 绍 的 Efficient VPN Client 模式 配置 方法 ， 再 结合 本 示例 实际 ， 可 得 出 如 
下 的 基本 配置 思路 (为 简单 起 见 ， 仅 配置 必 选 任务 )。 

(1) 在 RouterA 和 RouterB 上 配置 各 接口 的 卫 地 址 ， 以 及 到 达 对 端 公 网 、 私 网 的 静 
态 路 由 ， 保 证 路 由 可 达 。 

(2) 在 RouterB 上 配置 耻 地址 池 , 为 分 文 上 上 自动 创建 的 Loopback0 接口 分 配 一 个 IP 
地 址 ， 分 支 再 通过 这 个 IP 地 址 与 总 部 建立 IPSec 隧道 。 

(3) RouterB 作为 IPSec 隧道 协商 啊 应 方 ， 采 用 策略 模板 方式 与 RouterA 建立 IPSec 
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隧道 。 全 面 配置 包括 IPSec 安全 提议 、IKE 安全 提议 、IKE 对 等 体 、 基 于 策略 模板 创建 
安全 策略 ， 最 后 在 公 网 接口 上 应 用 安全 策略 组 。 

万 外 ， 在 Efficient VPN Client 模式 中 总 部 需要 向 分 支 推送 网 络 资源 参数 ， 故 还 需要 
配置 用 于 推送 的 AAA 业务 方案 ， 包 括 所 需 的 IP 地 址 池 、DNS 域名 、DNS 服务 器 地 址 
和 WINS 服务 器 地 址 。 

【经 验 提 示 】 因 为 分 支 上 的 许多 IPSec 参数 都 是 由 总 部 推送 的 ， 所 以 在 配置 分 支 的 
Efficient VPN 策略 前 要 配置 好 总 部 的 IPSec 参数 。 

(4) 在 RouterA 上 采用 Client 模式 配置 Efficient VPN 策略 , 指定 对 端的 公 网 IP 地 址 
和 IPSec 隧道 认证 的 预 共 圣 密 钥 ( 采 用 缺 省 的 IPSec 隧道 预 共 享 密 钥 认证 方法 )， 最 后 在 
公 网 接口 上 应 用 Efficient VPN 策略 ， 作 为 协商 发 起 方 与 RouterB 建立 IPSec 隧道 。 

2. 基本 配置 步骤 

(1) 分 别 在 RouterA 和 RouterB 上 配置 各 接口 的 IP 地址 ， 以 及 到 达 对 端 公 网 、 私 网 


的 静态 路 由 。 
# RouterA 上 的 配置 。 假设 到 对 端的 下 一 跳 地 址 为 60.1.1.2 (为 分 支 ISP 连接 RouterA 
的 接口 的 IP 地址 )。 


<Huawel> system-view 

[Huawei| sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 

[RouterA-GlgabltEthernet1/0/0] ip address 60.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA] interface gigabitethernet 2/0/0 

[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0 
[RouterA-GlgabltEthernet2/0/0] quit 

[RouterA] ip route-static 60.1.2.0 255.255.255.0 60.1.1.2 #--- 到 达 总 部 公 网 的 静态 路 由 
[RouterA] ip route-static 10.1.2.0 255.255.255.0 60.1.1.2 #--- 到 达 总 部 私 网 的 静态 路 由 


# RouterB 上 的 配置 。 假 设 到 对 端的 下 一 跳 地 址 为 60.1.2.2 (为 总 部 ISP 连接 RouterB 
的 接口 的 IP 地 址 )。 这 里 的 Loopback0 接口 仅 用 来 作为 后 面 所 配置 的 了 P 地 址 池 的 网 天 。 


<Huawel> system-view 
[Huawei| sysname RouterB 
[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 60.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0|] quit 
[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0| ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 
[RouterB| interface loopback0 
[RouterB-Loopback0] ip address 100.1.1.1 255.255.255.0 
[RouterB-Loopback0| quit 

” [RouterB] ip route-static 60.1.1.0 255.255.255.0 60.1.2.2 #--- 到 达 分 支 公 网 的 静态 路 由 
[RouterB] ip route-static 10.1.1.0 255.255.255.0 60.1.2.2 #-- 到 达 分 支 私 网 的 静态 路 由 
[RouterB] ip route-static 100.1.1.0 255.255.255.0 60.1.2.2 #--- 到 达 分 支 Loopback0 接口 所 在 网 段 的 静态 路 由 


【经 验 提 示 】 一般 情况 下 ， 我 们 在 总 部 网 关上 配置 的 卫 地址 池 可 以 直接 是 总 部 私 网 
网 段 ， 此 时 的 网 关 就 是 总 部 网 关 设 备 连接 内 部 子 网 的 接口 。 但 由 于 在 Client 模式 下 ， 分 
支 与 总 部 子 网 没有 做 统一 规划 , 为 了 尽 可 能 避免 与 总 部 子 网 中 配置 的 IP 地 址 相 冲 突 ,， 通 
常 采用 一 个 与 分 支 子 网 和 总 部 子 网 都 不 同 的 子 网 ,但 这 时 IP 地 址 池 的 网 关 就 不 能 是 总 训 
网 关连 接 内 部 子 网 的 接口 了 (因为 它 的 IP 地 址 与 卫 地址 池 中 的 IP 地 址 不 在 同一 IP 网 
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段 )， 这 时 可 以 是 其 他 任意 一 个 接口 ， 包 括 没有 物理 连接 的 接口 ， 只 要 把 它 的 IP 地 址 配 
置 在 IP 地 址 池 对 应 网 段 即 可 。 因 为 最 终 这 个 地 址 池 是 由 AAA 业务 方案 向 分 支 推送 的 ， 
实际 的 卫 地 址 分 配 并 不 是 真正 通过 这 个 卫 地 址 池 网 关 发 送 的 。 在 本 示例 中 ， 采 用 一 个 
永久 有 效 的 Loopback0 接口 作为 IP 地 址 池 的 网 关 ，, 把 它 的 IP 地 址 配置 在 IP 地 址 池 对 应 
网 段 中 。 

(2) 在 RouterB 上 配置 IP 地 址 池 ， 用 于 为 分 文 动态 分 配 一 个 用 于 建立 IPSec 降 道 的 
IP 地 址 。 假 设 IP 地 址 池 为 100.1.1.0/24， 网 关 就 是 第 (1) 步 在 总 部 网 关 RouterB 上 创建 


的 Loopback0 接口 。 


[RouterB] ip pool pooll 
[RouterB-ip-pool-pool1] network 100.1.1.0 mask 24 
[RouterB-Ip-pool-pool1] gateway-list 100.1.1.1 


(3) 配置 RouterB 作为 IPSec 隧道 协商 啊 应 方 ， 采 用 策略 模板 方式 与 RouterA 建立 
IPSec 隧道 。 在 此 仅 配 置 必要 的 配置 任务 。 

# 通过 AAA 业务 模板 配置 要 推送 的 资源 属性 。 

在 Client 模式 中 ， 总 部 至 少 需要 回 分 支 推送 分 文 用 户 用 于 PAT 地 址 转换 的 IP 地 址 
池 ， 另 外 还 可 根据 实际 需求 选择 推送 、DNS 域名 (假设 为 lycb.com)、 主 /从 DNS 服务 器 
地 址 (假设 分 别 为 2.2.2.2 和 2.2.2.3) 和 主 / 从 WINS 服务 器 地 址 (假设 分 别 为 3.3.3.2 和 
3.3.3.3)。 


[RouterB] aaa 

[RouterB-aaa] service-scheme Schemetest 

[RouterB-aaa-service-schemetest] ip pool pooll ”#-- 引 用 前 面 配置 的 了 P 地 址 池 
[RouterB-aaa-service-schemetest] dns-name lycb.com 
[RouterB-aaa-service-schemetest] dns 2.2.2.2 

[RouterB-aaa-service-schemetest] dns 2.2.2.3 secondary 及 
[RouterB-aaa-service-schemetest] wins 3.3.3.2 

[RouterB-aaa-service-schemetest] wins 3.3.3.3 secondary 
[RouterB-aaa-service-schemetest] quit 

[RouterB-aaal| quit 


# 配置 IKE 安全 提议 和 IKE 对 等 体 ， 并 将 AAA 业务 模板 绑 定 在 IKE 对 等 体 中 。 

假设 IKE 安全 提议 中 指定 采用 SHA2-256 认证 算法 、AES-128 加 密 算 法 、group2 的 
DH 组 , 其 他 参数 采用 缺 省 值 ( 包 括 认证 方法 也 采用 缺 省 的 预 共 享 密 铀 认证 方法 ),。 在 KE 
对 等 体 中 采用 IKEv2 版 本 ， 配 置 的 预 共享 认证 密 钥 为 huawei。 

[RouterB] ike proposal 5 

[RouterB-ike-proposal-5] dh group2 #--- 此 处 只 能 为 group2 

[RouterB-ike-proposal-5] authentication-algorithm sha2-256 

[RouterB-ike-proposal-5] encryption-algorithm aes-128 

[RouterB-ike-proposal-5] quit 

[RouterB| ike peer rut3 v2 

[RouterB-ike-peer-rut3] pre-shared-key cipher huawei #--- 配 置 IPSec 隧道 认证 的 预 共享 密 钥 

[RouterB-ike-peer-rut3] ike-proposal 5 #--- 引 用 前 面 配 置 的 IKE 安全 提议 

[RouterB-ike-peer-rut3] service-scheme schemetest #--- 引 用 前 面 配 置 的 AAA 业务 方案 

[RouterB-ike-peer-rut3] quit 





[在 Efficient VPN 策略 中 ,DH 组 只 能 选择 group2， 当 采用 IKEv1 时 , IKE 对 等 体 
和 IKE 安全 提议 使 用 的 加 密 算 法 只 能 是 3DES-CBC， 认 证 算法 只 能 是 SHA1L 或 MAD5。 
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# 配置 IPSec 安全 提议 ， 并 以 策略 模板 方式 创建 安全 策略 。 

在 IPSec 安全 提议 中 指定 ESP 认证 算法 为 SHA2-256，ESP 加 密 算 法 为 AES-128， 
其 他 参数 采用 缺 省 配置 。 在 策略 模板 中 引用 前 面 配置 好 的 IKE 对 等 体 、IPSec 安全 提议 ， 
并 基于 策略 模板 创建 ISAKMP 安全 策略 ， 然 后 在 总 部 网 关公 网 接口 上 应 用 。 


[RouterB] ipsec proposal prop1 

[RouterB-ipsec-proposal-prop1] esp authentication-algorithm sha2-256 
[RouterB-ipsec-proposal-propl | esp encryption-algorithm aes-128 
[RouterB-ipsec-proposal-prop1] quit 

[RouterB] ipsec policy-template templ 10 

[RouterB-ipsec-policy-templet-temp1-10] ike-peer rut3 ”#--- 引 用 前 面 配置 的 IKE 对 等 体 
[RouterB-ipsec-policy-templet-temp1-10] proposal prop1 #--- 引 用 前 面 配 置 的 IPSec 安全 提议 
[RouterB-ipsec-policy-tempjlet-temp1-10] quit 

[RouterB] ipsec policy policyl 10 isakmp template temp1 #--- 基 于 策略 模板 创建 I SAKMP 安全 策略 
[RouterB] interface gigabitethernet 1/0/0 

[RouterB-GigabitEthernet1/0/0] ipsec policy policyl 

[RouterB-GigabitEthernet1/0/0] quit 


(4) 在 RouterA 上 采用 Client 方式 配置 Efficient VPN 策略 ， 建 立 IPSec 隧道 。 仅 配 


置 必 选 配置 任务 。 
# 配置 Efficient VPN 的 模式 为 Client 模式 , 并 指定 IKE 协商 时 的 对 端 地 址 和 预 共享 
密 钥 。 


[RouterA | ipsec efficient-vpn evpn mode client 
[RouterA-ipsec-efficient-vpn-evpn] remote-address 60.1.2.1 v2 
[RouterA-ipsec-efficient-vpn-evpn| pre-shared-key cipher huawei 
[RouterA-ipsec-efficient-vpn-evpn| quit 


# 在 公 网 接口 上 应 用 Efficient VPN 策略 。 


[RouterA | interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ipsec efficient-vpn evpn 
[RouterA-GigabitEthernet1/0/0] quit 


3. 配置 结果 验证 

以 上 配置 完成 后 ,可 在 主机 PC A 上 执行 ping 操作 ， 此 时 可 以 ping 通 主机 PCB 了 ， 
在 RouterA 上 执行 display ipsec statistics 命令 如 果 可 以 查看 到 所 创建 的 两 个 SA， 表 明 已 
成 功 与 总 部 建立 IPSec 隧道 了 ， 结 果 如 下 。 


[RouterA] display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
26 60.1.2.1 0 RDIST v2:2 
25 60.12! 0 RDIST v2:1 


Number of SA entries :2 
Number of SA entries of all cpa : 2 


Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP 
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING 


另外 ， 在 RouterA 上 查看 接口 时 会 看 到 有 一 个 自动 创建 的 Loopback0 接口 ， 并 且 从 
总 部 那里 自动 分 配 一 个 在 100.1.1.0/24 网 段 的 卫 地 址 。 这 个 卫 地 址 是 作为 分 文 下 所 有 用 
户 要 与 总 部 子 网 通信 时 经 PAT 转换 后 的 卫 地 址 。 
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4.2.7 ”Efficient VPN Network 模式 建立 IPSec 隧道 配置 示例 


如 图 4-9 所 示 ，RouterA 为 公司 分 支 网 关 ，RouterB 为 公司 总 部 网 天 ， 分支 与 总 部 通 
过 公 网 建立 通信 ， 并 且 总 部 与 分 支 的 网 络 已 统一 规划 。 分 支 子 网 为 10.1.1.0/24， 总 部 子 
网 为 10.1.2.0/24。 


RouterA RouterB 


Remote 















分 支 网 光 GE1/0/0 GE1/0/0 总 部 网 光 
GE2/0/0 60.1.1.1/24 60.1.2.1/24 GE2/0/0 
10.1.1.1/24 10.121P4 


IPSec Tunnel 大 


4-9 Efficient VPN Network 模式 建立 IPSec 隧道 配置 示例 的 拓扑 结构 


现 公 司 和 希望 对 分 文子 网 与 总 部 子 网 之 间 相 互 访问 的 流量 进行 安全 保护 ， 并 且 分 文 网 
关 配 置 能 够 尽量 简单 ， 由 总 部 网 关 对 分 文 网 关 进 行 集中 管理 。RouterA 加 RouterB 申请 
DNS 域名 、DNS 服务 器 地 址 和 WINS 服务 器 地 址 ， 提 供给 分 支 子 网 使 用 。 

本 示例 中 的 各 AR 路 由 器 运行 V200R005 版 本 ，IKE 采用 v2 版 本 。 

1. 基本 配置 思路 分 析 

本 示例 中 ,分 文子 网 与 总 部 子 网 经 过 了 统一 规划 , 所 以 不 存在 IP 地 址 段 重 登 的 问题 。 
此 时 可 在 分 支 网 关 与 总 部 网 关 之 间 采用 Efficient VPN Network 模式 建立 一 个 IPSec 隧道 
来 实施 安全 保护 ,便于 IPSec 隧道 的 建立 与 维护 管理 。 在 Efficient VPN Network 模式 下 ， 
分 文 不 会 问 总 部 申请 卫 地 址 , 分 文子 网 用 户 直 接 使 用 原 有 IP 地 址 与 总 部 子 网 建立 IPSec 
隧道 。 所 以 , 本 示例 中 的 分 文 和 总 部 的 配置 相 比 4.2.6 市 介绍 的 Client 模式 配置 示例 中 的 
配置 更 为 简单 。 

本 示例 的 基本 配置 思路 如 下 。 

(1) 在 RouterA 和 RouterB 上 配置 各 接口 的 IP 地址 ， 以 及 到 达 对 问 公 网 、 私 网 的 静 
态 路 由 ， 保 证 两 端 路 由 可 达 。 

(2) 在 RouterB 上 配置 要 推送 的 资源 属性 ， 包 括 所 需 的 DNS 域名 、DNS 服务 器 地 
址 和 WINS 服务 器 地 址 。 

(3) RouterB 作为 IPSec 隧道 协商 啊 应 方 ， 采 用 策略 模板 方式 与 RouterA 建立 IPSec 
隧道 。 包 括 全 面 的 IPSec 参数 配置 ， 如 IPSec 安全 提议 、IKE 安全 提议 、IKE 对 等 体 、 基 
于 策略 模板 创建 的 安全 策略 等 。 

(4) 在 RouterA 上 采用 Network 模式 配置 Efficient VPN 策略 ， 作 为 协商 发 起 方 与 
RouterB 建立 IPSec 隧道 。 此 时 只 需 指定 Efficient VPN Network 的 运行 模式 、Server 端的 
公 网 他 地 址 、IPSec 隧道 认证 的 预 共享 密 钥 。 

2.， 具体 配置 步骤 

“(1) 分 别 在 RouterA 和 RouterB 上 配置 各 接口 的 卫 地 址 ， 以 及 到 达 对 端 公 网 和 私 网 
的 静态 路 由 。 
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#_ RouterA 上 的 配置 。 假 设 到 达 对 端的 下 一 跳 地 址 为 60.1.1.2。 


<Huawel> system-view 

[Huawei| sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ip address 60.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA] interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0| ip address 10.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 

[RouterA| ip route-static 60.1.2.0 255.255.255.0 60.1.1.2 
[RouterA] ip route-static 10.1.2.0 255.255.255.0 60.1.1.2 


# 在 RouterB 上 配置 接口 的 IP 地址。 假设 到 对 端 下 一 跳 地 址 为 60.1.2.2。 


<Huawel> system-view 

[Huawel] sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 60.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB| interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 

[RouterB] ip route-static 60.1.1.0 255.255.255.0 60.1.2.2 
[RouterB] ip route-static 10.1.1.0 255.255.255.0 60.1.2.2 


(2) 在 RouterB 上 通过 AAA 业务 模板 配置 要 推送 的 资源 属性 ， 根 据 需 要 推送 DNS 
域名 (假设 为 lycb.com)、 主 /从 DNS 服务 器 地 址 (假设 分 别 为 2.2.2.2 和 2.2.2.3) 和 主 / 
从 WINS 服务 器 地 址 (假设 分 别 为 3.3.3.2 和 3.3.3.3)。 


[RouterB| aaa 

[RouterB-aaa] service-scheme schemetest 
[RouterB-aaa-service-Schemetest] dns-name lycb.com 
[RouterB-aaa-service-schemetest| dns 2.2.2.2 
[RouterB-aaa-service-schemetest| dns 2.2.2.3 secondary 
[RouterB-aaa-service-schemetest] wins 3.3.3.2 
[RouterB-aaa-service-schemetest] wins 3.3.3.3 secondary 
[RouterB-aaa-service-Schemetest] quit 

[RouterB-aaa] quit 


(3) 在 RouterB 上 配置 策略 模板 方式 的 安全 策略 ， 作 为 协商 啊 应 方 与 RouterA 建立 
IPSec 隧道 

# 配置 IKE 安全 提议 和 IKE 对 等 体 。 

假设 IKE 安全 提议 中 指定 采用 3DES-CBC 加 密 算 法 、group2 的 DH 组 , 其 他 参数 采 
用 缺 省 值 〈 包 括 认 证 方法 也 采用 缺 省 的 预 共享 密 钥 认 证 方法 )。 在 IKE 对 等 体 中 采用 
IKEv2 版 本 ， 配 置 的 预 共 享 认 证 密 钥 为 huawei。 


[RouterB| ike proposal 5 

[RouterB-ike-proposal-5] dh group2 #-- 此 处 只 能 为 group2 

[RouterB-ike-proposal-5] encryption-algorithm 3des-cbe 

[RouterB-ike-proposal-5] quit : 

[RouterB| ike peer rut3 v2 

[RouterB-ike-peer-rut3] pre-shared-key simple huawei 

[RouterB-ike-peer-rut3] ike-proposal 5 

[RouterB-ike-peer-rut3] service-scheme schemetest #--- 引 用 前 面 配置 的 AAA 业务 方案 
[RouterB-ike-peer-rut3|] quit 


# 配置 IPSec 安全 提议 、 策 略 模 板 方 式 的 安全 策略 。 
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此 处 的 IPSec 安全 提议 参数 均 采用 缺 省 值 。 基 于 和 集 略 模板 创建 安全 和 集 略 ， 并 最 后 在 
公 网 接口 上 应 用 该 安全 策略 组 。 

[RouterB] ipsec proposal tranl 

[RouterB-ipsec-proposal-tranl | quit 

[RouterB] ipsec policy-template usel 10 

[RouterB-ipsec-policy-templet-usel-10|] ike-peer rut3 

[RouterB-ipsec-policy-templet-usel-10] proposal tranl 

[RouterB-ipsec-policy-templet-usel-10] quit 

[RouterB] ipsec policy policyl 10 isakmp template usel 

[RouterB] interface gigabitethernet 1/0/0 

[RouterB-GigabitEthernet1/0/0] ipsec policy policy! 

[RouterB-GigabitEthernet1/0/0] quit 


(4) 在 RouterA 上 采用 Network 模式 配置 Efficient VPN 策略 ， 作 为 协商 发 起 方 与 
RouterB 建立 IPSec 隧道 。 因 为 在 Network 模式 中 ， 分 支 子 网 用 户 直 接 采 用 原始 IP 地 址 
与 总 部 子 网 通信 ， 所 以 需要 通过 ACL 来 定义 需要 保护 的 数据 流 。 

# 配置 ACL， 定 义 由 子 网 10.1.1.0/24 去 子 网 10.1.2.0/24 的 数据 流 。 


[RouterA] acl number 3001 
[RouterA-acl-adv-3001] rule 1 permit ip source 10.1.1.2 0.0.0.255 destination 10.1.2.2 0.0.0.255 


# 配置 Efficient VPN 的 模式 为 Network, 并 在 模式 视图 下 引用 ACL、 指 定 IKE 协商 
时 的 对 端 地 址 和 预 共 孕 密 铀 。 

[RouterA] ipsec efficient-vpn evpn mode network 

[RouterA-ipsec-efficient-vpn-evpn] security acl 3001 

[RouterA-ipsec-efficlient-vpn-evpn] remote-address 60.1.2.1 v2 

[RouterA-ipsec-efficlent-vpn-evpn] pre-shared-key simple huawei 

[RouterA-ipsec-efficient-vpn-evpn| quit 

# 在 公 网 接口 上 应 用 Efficient VPN。 


[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0|] ipsec efficient-vpn evpn 


3. 配置 结果 验证 

以 上 配置 完成 后 ， 在 主机 PC A 上 执行 ping 操作 可 以 ping 通 主机 PCB 了 。 在 两 端 
执行 display ipsec statistics esp 命令 可 以 但 看 数据 包 的 统计 信息 。 

# 分 别 在 RouterA 和 RouterB 上 执行 display ike sa v2 命令 会 显示 所 建立 的 两 个 SA 


言 轧 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
[RouterA | display ike sa v2 


Conn-ID Peer VPN Flag(s) Phase 
31 60.1.2.1 0 RDIST 2 
30 60.1.2.1 0 RDIST ] 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
# 分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa 命令 会 显示 所 生成 的 出 /入 两 个 
方面 的 IPSec SA 信息 ， 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
[RouterA] display ipsec sa 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一- 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 . 


Interface: GigabitEthernet1/0/0 
Path MTU: 1500 
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IPSec efficient-vpn name: "evpn" 


Mode : EFFICIENTVPN-NETWORK MODE 
Connection ID 4 
Encapsulation mode: Tunnel 
Tunnel local ‘60.1.11 
Tunnel remote 00421 


Flow source 
Flow destination 


: 10.1.1.0/0.0.0.255 0/0 
: 10.1.2.0/0.0.0.255 0/0 


Qos pre-classify : Disable 


[Outbound ESP SAs|] 


SPI: 4292419822 (0xffd920ee) 

Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3525 
Max sent sequence-number: 0 

UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 


SPI: 1849619651 (Ox6e3ef4c3) 

Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3525 
Max received sequence-number: 0 


Anti-replay window size: 32 


UDP encapsulation used for NAT traversal: N 
# 在 RouterA 上 执行 display ipsec efficient-vpn 命令 会 显示 Efficient VPN 策略 的 配 
置信 息 。 当 出 现 故障 时 可 通过 该 命令 检查 分 支 闪 的 Efficient VPN 策略 配置 是 否 正确 。 


[RouterA] display ipsec efficient-vpn 


一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


IPSec efficient-vpn name: evpn 


Using interface 





: GigabitEthernet1/0/0 


IPSec Efficient-vpn Name 
IPSec Efficient-vpn Mode 
ACL Number 

Auth Method 

VPN name 

Local ID Type 

IKE Version 

Remote Address 

Pre Shared Key 

PFS Type 

Local Address 

Remote Name 

PKI Object 

Anti-replay window size 
Qos pre-classify 

Interface loopback 
Interface loopback IP 
Dns server IP 

Wins server IP 


: evpn 
:2 (1:Client 2:Network 3:Network-plus) 


: 3001 
: 8 (8:PSK 9:RSA) 


: 1 (1:IP 2:Name) 
:2 (1:IKEv] 2:IKEv2) 
:60.1.2.1 (selected) 


: huawei 
: 0 (0:Disable 1:Groupl 2:Group2 $5:Group$ 14:Group14) 


2 
: 0 (0:Disable 1:Enable) 


‘dd dd 


“33 3 
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Dns default domain name :mydomain.com.cn 
Auto-update url 
Auto-update version 


4.2.8 Efficient VPN Network-plus 方式 建立 IPSec 隧道 配置 示例 


如 图 4-10 所 示 ，RouterA 为 公司 分 支 网 关 ，RouterB 为 公司 总 部 网 关 ， 分 文 与 总 部 
通过 公 网 建立 通信 ， 并 且 总 部 与 分 支 的 网 络 已 统一 规划 。 分 支 子 网 为 10.1.1.0/24， 总 部 
子 网 为 10.1.2.0/24。 现 公司 希望 对 分 支 子 网 与 总 部 子 网 之 间 相 互 访 问 的 流量 进行 安全 保 
护 ， 并 且 分 支 网 关 配 置 能 够 尽量 简单 ， 由 总 部 网 关 对 分 支 网 关 进 行 集中 管理 ， 管 理 和 维 
护 方式 采用 Ping、Telnet 命令 。 


RouterA RouterB 


Server 
总 部 网 关 


GE2/0/0 
10.1.2.1/24 















GE1/0/0 
60.1.2.1/24 






60.1.1.1/24 


IPSec Tunnel (【) 


GE2/0/0 
10.1.1.1/24 


















PCA B 
~ 10.1.1.2/24 


10.1.2.2/24 


分 文子 网 总 部 子 网 
图 4-10 Efficient VPN Network-plus 方式 建立 IPSec 隧道 配置 示例 拓扑 结构 


本 示例 中 的 AR 路 由 器 均 运行 V200R005 版 本 ，IKE 协议 采用 v1 版 本 。 

1. 基本 配置 思路 分 析 

本 示例 中 的 分 文子 网 与 总 部 子 网 的 卫 地 址 经 过 了 统一 规划 ， 所 以 不 存在 IP 网 段 重 
登 的 问题 。 但 公司 希望 在 总 部 能 对 分 文 进 行 集中 的 设备 管理 ， 能 通过 Ping、Telent 等 管 
理 方式 对 分 文 设备 进行 管理 ， 所 以 可 以 在 分 文 网 关 与 总 部 网 关 之 间 采用 Efficient VPN 
Network-plus 模式 建立 一 个 IPSec 隧道 来 实施 安全 保护 , 便于 IPSec 隧道 的 建立 与 维护 
管理 。 

在 Efficient VPN Network-plus 模式 下 ，RouterA 要 癌 RouterB 申请 一 个 IP 地址 (也 
是 分 配给 RouterA 目 动 创建 的 Looback 接口 ) 用 于 建立 IPSec 隧道 ， 但 这 个 IP 只 用 于 总 
部 对 分 文 进行 Ping、Telnet 等 管理 维护 ， 不 用 于 对 分 文 用 户 进行 PAT 地 址 转换 。 同 时 
RouterA 还 可 回 RouterB 申请 DNS 域名 、DNS 服务 器 地 址 和 WINS 服务 器 地 址 ， 提 供给 
分 文子 网 使 用 。 

本 示例 的 基本 配置 思路 如 下 总体 与 4.2.6 节 的 配置 差不多 )。 

(1) 在 RouterA 和 RouterB 上 配置 各 接口 的 IP 地 址 ， 以 及 到 达 对 端 公 网 、 私 网 的 静 
态 路 由 ， 保 证 两 端 路 由 可 达 。 

(2) 在 RouterB 上 配置 卫 地 址 池 ， 用 于 为 分 文 动态 分 配 一 个 用 于 建立 IPSec 隧道 的 
IP 地 址 。 

(3) 在 RouterB 上 配置 要 推送 的 资源 属性 ， 包 括 IP 地 址 池 、DNS 域名 、DNS 服务 
器 地 址 和 WINS 服务 器 地 址 。 

(4) RouterB 作为 IPSec 降 道 协商 啊 应 方 ， 采 用 策略 模板 方式 与 RouterA 建立 IPSec 
隧道 。 全 面 配置 包括 IPSec 安全 提议 、IKE 安全 提议 、IKE 对 等 体 、 基 于 策略 模板 创建 
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安全 策略 ， 最 后 在 公 网 接口 上 应 用 安全 策略 。 

(5) 在 RouterA 上 采用 Network-plus 模式 配置 Efficient VPN 策略 ， 指 定 对 端的 公 网 
IP 地 址 和 IPSec 辽 志 认证 的 预 共 至 密 钥 (采用 缺 省 的 IPSec 隧道 预 共享 密 钥 认证 方法 )， 
最 后 在 公 网 接口 上 应 用 Efficient VPN 策略 ， 作 为 协商 发 起 方 与 RouterB 建立 IPSec 隧道 

2. 具体 配置 步 又 

(1) 分 别 在 RouterA 和 RouterB 上 配置 各 接口 的 IP 地 址 ， 以 及 到 达 对 端 公 网 和 私 网 
的 静态 路 由 。 

# RouterA 上 的 配置 。 假 设 到 对 端的 下 一 跳 地 址 为 60.1.1.2。 


<Huawel> System-view 

[Huaweli]l sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0|] ip address 60.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA | interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 

[RouterA] ip route-static 60.1.2.0 255.255.255.0 60.1.1.2 
[RouterA| ip route-static 10.1.2.0 255.255.255.0 60.1.1.2 


# RouterB 上 的 配置 。 假 设 到 对 痛 下 一 跳 地 址 为 60.1.2.2。 这 里 的 Loopback0 接口 
仅 用 来 作为 后 面 所 配置 的 IP 地 址 池 的 网 关 。 


<Huawei> system-view 

[Huawei| sysname RouterB 

[RouterB| interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0|] ip address 60.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 

[RouterB| ip route-static 60.1.1.0 255.255.255.0 60.1.2.2 
[RouterB| ip route-static 10.1.1.0 255.255.255.0 60.1.2.2 
[RouterB] interface loopback0 

[RouterB-Loopback0] ip address 100.1.1.1 255.255.253.0 
[RouterB-Loopback0] quit 


(2) 在 RouterB 上 配置 IP 地 址 池 ， es 于 建立 IPSec 隧道 的 
IP 地 址 〈 仅 用 于 总 部 对 分 支 设 备 的 管理 ， 不 用 于 给 分 支 用 户 进行 PAT 地 址 转换 )。 假 设 
IP 地 址 池 为 100.1.1.0/24， 网 关 就 是 第 (1) 步 在 总 部 网 关 RouterB 上 创建 的 Loopback0 
接口 。 


[RouterB| ip pool pol 

[RouterB-ip-pool-pol] network 100.1.1.0 mask 255.255.255.128 
[RouterB-ip-pool-pol| gateway-list 100.1.1.1 
[RouterB-ip-pool-polj quit 


(3) 在 RouterB 上 配置 要 推送 的 学 资源 属性 ， 推送 IP 地 址 池 、DNS 域名 (假设 为 
lycb.com)、 主 /从 DNS 服务 器 地 址 (假设 分 别 为 2.2.2.2 和 2.2.2.3) 和 主 / 从 WINS 服务 
器 地 址 (假设 分 别 为 3.3.3.2 和 3.3.3.3 )。 


[RouterB| aaa 

[RouterB-aaa| service-scheme schemetest 
[RouterB-aaa-service-schemetest| ip-pool pol 
[RouterB-aaa-service-schemetest| dns-name mydomain.com.cn 
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[RouterB-aaa-service-schemetest] dns 2.2.2.2 
[RouterB-aaa-service-schemetest| dns 2.2.2.3 secondary 
[RouterB-aaa-service-schemetest| wins 3.3.3.2 
[RouterB-aaa-service-Schemetest] wins 3.3.3.3 secondary 
[RouterB-aaa-service-schemetest] quit 

[RouterB-aaa] quit 


(4) 在 RouterB 上 配置 策略 模板 方式 的 安全 策略 ， 作 为 协商 啊 应 方 与 RouterA 建立 


IPSec 隧道 。 


# 配置 IKE 安全 提议 和 IKE 对 等 体 。 
因为 本 示例 的 AR 路 由 器 运行 V200R005 版 本 VRP 系统 , 采用 IKEv1 版 本 ， 所 以 认 


证 算法 只 能 是 SHA1 或 MD5 (V200R006 以 前 版 本 缺 省 为 MDS$， 不 需要 配置 )， 加 密 算 


法 如 


! 能 是 3DES-CBC，IKEv1 第 一 阶段 协商 采用 野蛮 模式 。 


[RouterB] ike proposal $ 

[RouterB-ike-proposal-5] dh group2 

[RouterB-ike-proposal-5] encryption-algorithm 3des-cbe #--- 在 IKEv1 中 必须 为 3DES-CBC 算法 
[RouterB-ike-proposal-5] quit 

[RouterB | ike peer rut3 v1 

[RouterB-ike-peer-rut3] exchange-mode aggressive #--- 在 IKEv1 中 必须 为 野蛮 模 式 
[RouterB-ike-peer-rut3] pre-shared-key simple huawe! 

[RouterB-ike-peer-rut3] ike-proposal 5 

[RouterB-ike-peer-rut3] service-scheme schemetest 

[RouterB-ike-peer-rut3] quit 


# 配置 IPSec 安全 提议 、 策 略 模板 方式 的 安全 策略 。 引 用 前 面 配置 的 IKE 对 等 体 和 


IPSec 安全 提议 。 


[RouterB] ipsec proposal tranl 
[RouterB-ipsec-proposal-tran1] quit 

[RouterB] ipsec policy-template usel 10 
[RouterB-ipsec-policy-templet-use1-10] ike-peer rut3 
[RouterB-ipsec-policy-templet-usel-10] proposal tranl 
[RouterB-ipsec-policy-templet-use1-10] quit 

[RouterB] ipsec policy pojlicyl 10 isakmp template usel 


# 在 公 网 接口 上 应 用 安全 策略 组 。 


[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ipsec policy policy1l 


(5) 在 RouterA 上 采用 Network-plus 模式 配置 Efficient VPN 策略 ， 作 为 协 商 发 起 广 


与 RouterB 建立 IPSec 隧道 。 因 为 分 支 不 采用 总 部 分 配 的 IP 地 址 进行 PAT 转换 ， 而 是 直 
接 采 用 原始 IP 地 址 与 总 部 子 网 通信 ， 所 以 需要 在 Efficient VPN 策略 中 问 总 部 推送 需要 
IPSec 保护 的 数据 流 。 


# 配置 ACL， 定 义 由 分 支 子 网 10.1.1.0/24 到 达 总 部 子 网 10.1.2.0/24 的 数据 流 。 


[RouterA] acl number 3001 
[RouterA-acl-adv-3001] rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 


# 配置 Efficient VPN 的 模式 为 Network-plus， 并 在 模式 视图 下 引用 ACL、 指 定 IKE 协 


商 时 的 对 端 公 网 人 P 地 址 和 采用 预 共 享 密 钥 认证 方法 时 的 预 共 享 密 钥 ( 两 端 配置 必须 一 致 )。 


[RouterA | ipsec efficient-vpn evpn mode network-plus 
[RouterA-ipsec-efficient-vpn-evpn] security acl 3001 
[RouterA-ipsec-efficient-vpn-evpn] remote-address 60.1.2.1 v1 
[RouterA-ipsec-efficlent-vpn-evpn] pre-shared-key simple huawel 
[RouterA-ipsec-efficient-vpn-evpn] quit 
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# 在 接口 上 应 用 Efficient VPN。 


[RouterA | interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ipsec efficient-vpn evpn 


3. 配置 结果 验证 
以 上 配置 完成 后 ， 在 主机 PC A 上 执行 ping 操作 可 以 ping 通 主 机 PC B。 在 两 设备 
| on ipsec statistics esp 命令 可 以 查看 数据 包 的 统计 信息 。 
分 别 在 RouterA 和 RouterB 上 执行 display ike sa 命令 会 显示 所 建立 的 两 个 SA 信 
人 令 的 输出 示例 。 


[RouterA] display ike sa 
Conn-ID Peer VPN Flag(s) Phase 
117 60.12.1 0 RDIST 2 
116 60.1.2.1 0 RDIST 1 
Flag Description: 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
# 分 别 在 RouterA 和 RouterB 上 执行 display ipsec sa 命令 会 显示 所 生成 出 /入 两 方 回 


IPSec SA 信息 。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 
[RouterA | display ipsec sa 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Interface: GigabitEthernet1/0/0 
Path MTU: 1500 


IPSec efficient-vpn name: "evpn" 


Mode : EFFICIENTVPN-NETWORKPLUS MODE 
Connection ID :1 
Encapsulation mode: Tunnel 
Tunnel local "60. 1.1.1 
Tunnel remote “ 69. .2.] 
Flow source : 100.1.1.126/235.255.255.255 0/0 


Flow destination :0.0.0.0/0.0.0.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SAs] 
SPI: 997280145 (Ox3b714991) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5 
SA remaining key duration (bytes/sec): 1887436800/3586 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 1864510097 (0x6f222a91) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3586 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 
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IPSec efficient-vpn name: “evpn” 


Mode : EFFICIENTVPN-NETWORKPLUS MODE 
Connection ID : ]1% 
Encapsulation mode: Tunnel 
Tunnel local :60 11 
Tunnel remote “6060.121 
Flow source :10.1.1.0/255.255.255.0 0/0 


Flow destination : 10.1.2.0/255.255.255.0 0/0 
Qos pre-classify : Disable 


[Outbound ESP SAs] 
SPI: 1707505549 (Ox65c6778d) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3586 
Max sent sequence-number: 0 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs| 
SPI: 640737937 (0x2630e291) 
Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MDS 
SA remaining key duration (bytes/sec): 1887436800/3586 
Max received sequence-number: 0 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


# 在 RouterA 上 执行 display ipsec efficient-vpn 命令 会 显示 Efficient VPN 策略 的 配 
置信 息 。 当 出 现 故 障 时 可 通过 该 命令 检查 分 文 端的 Efficient VPN 策略 配置 是 否 正确 。 


[RouterA] display ipsec efficient-vpn 


IPSec efficient-vpn name: evpn 


Anti-replay window size 
Qos pre-classify 
Interface loopback 
Interface loopback IP 
Dns server IP 

Wins server IP 

Dns default domain name 
Auto-update url 
Auto-update version 


Using interface : GigabitEthernet1/0/0 
IPSec Efficient-vpn Name :evpn 
IPSec Efficient-vpn Mode :3 (1:Client 2:Network 3:Network-plus) 
ACL Number : 3001 
Auth Method : 8 (8:PSK 9:RSA) 
VPN name : 
Local ID Type : ] (1:IP 2:Name) 
IKE Version :1 (1:IKEv] 2:IKEv2) 
Remote Address :60.1.2.1] (selected) 
Pre Shared Key : huawei 
PFS Type : 0 (0:Disable 1:Groupl 2:Group2 $5:Group$ 14:Group14) 
Local Address : 
Remote Name 
PKI Object 


52 

: 0 (0:Disable 1:Enable) 
: LoopBack100 
: 100.1.1.126/25 


2.222.2223 
‘23332 333.9 
: mydomain.com.cn 
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L2TP (Layer 2 Tunnel Protocol， 二 层 隧道 协议 ) 是 虚拟 私有 拨号 网 VPDN 隧道 协议 
的 一 种 ， 是 PPP 在 应 用 层 的 一 种 扩展 应 用 ( 即 L2TP 是 一 种 应 用 层 协议 )， 是 远程 拨号 用 
户 接 入 企业 总 部 网 络 的 一 种 重要 VPN 技术 。L2TP 通过 拨号 网 络 ， 基 于 PPP 的 协商 ， 建 

立 企 业 分 支 机 构 用 户 到 企业 总 部 的 隧道 ， 使 远程 用 户 ee 接 入 企业 总 部 。PPPoE 技术 的 
出 现 更 是 扩展 了 L2TP 的 应 用 范围 ， 使 得 用 户 可 以 通过 以 太 网 连接 Internet， 建 立 远程 移 
动 办 公 人 员 到 企业 总 部 的 L2TP 隧道 。 

本 章 将 对 华为 AR G3 系列 路 由 器 所 支持 的 各 种 L2TP VPN 技术 原理 , 以 及 各 种 应 用 
情形 的 具体 配置 方法 做 一 个 全 面 、 深 入 的 介绍 。 但 L2TP VPN 解决 方案 在 通信 安全 保障 
方面 存在 一 些 不 足 ， 如 不 能 为 隧道 中 传输 的 数据 提供 加 密 保 障 ， 在 用 户 身 份 认证 方面 ， 
L2TP 也 只 是 采取 静态 密码 认证 方式 . 正 因 如 此 ,在 L2TP VPN 通信 中 还 可 与 IPSec 技术 
结合 ,通过 IPSec 为 L2TP VPN 提供 进一步 的 安全 保证 ,这 就 是 本 章 后 面 将 要 介绍 的 L2TP 
over IPSec 解决 方案 。 

本 章 最 后 也 将 介绍 在 L2TP VPN 的 部 署 过 程 中 可 能 出 现 的 一 些 典 型 故障 的 排除 方 
法 ， 和 希望 对 大 家 在 实际 的 L2TPVPN 维护 过 程 中 有 所 帮助 。 


5.1 L2TP VPN 体系 架构 


了 解 一 项 VPN 技术 ， 首 先 要 从 它 的 体系 架构 开始 。 因 为 L2TP VPN 中 的 L2TP 是 
PPP 协议 的 一 项 扩展 技术 ， 所 以 它 必须 依靠 PPP 协议 ， 所 传输 的 也 是 PPP 类 型 的 报 文 。 
当然 这 种 PPP 报 文 可 以 是 由 终端 用 户 通过 拨号 网 络 发 送 的 ， 也 可 以 是 由 网 络 设备 自动 拨 
号 产生 的 ， 所 以 L2TP VPN 同时 适用 于 终端 用 户 直接 进行 各 种 PPP 拨号 、 网 络 设备 目 拨 
号 等 多 种 网 络 环境 。 


5.1.1 L2TP VPN 的 基本 组 成 
利用 L2TP 协议 构建 二 层 VPN 隧道 的 基本 组 成 如 图 5-1 所 示 ， 主 要 包括 以 下 三 大 组 


RADIUS 服务 器 RADIUS 服务 器 









VPDN 
图 5-1 L2TP VPN 基本 组 成 





移动 办 公 人 员 
(L2TP 拨号 软件 ) 
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1. PPP 终端 

PPP 终端 (或 你 “拨号 用 户 ”) 是 指 发 起 拨号 ， 将 数据 封装 成 PPP 类 型 的 设备 ， 通 
常 是 一 个 可 执行 PPP 或 者 PPPoE 拨号 用 户 的 主机 或 私有 网 络 中 文 持 L2TP 目 拨号 的 一 台 
网 络 设备 ， 如 华为 AR G3 系列 路 由 器 。 

2. NAS 

NAS (Network Access Server， 网 络 接 入 服务 器 ) 主要 由 ISP 维护 ， 连 接 拨号 网 络 ， 
是 距离 PPP 终端 地 理 位 置 最 近 的 接 入 点 。NAS 用 于 传统 的 拨号 网 络 中 ,为 远程 拨号 用 户 
提供 VPDN 服务 ， 和 企业 总 部 建立 隧道 连接 。 

SAC 

L2TP LAC (L2TP Access Concentrator，L2TP 访问 集中 器 ) 是 交换 网 络 上 同时 具有 
PPP 和 L2TP 协议 处 理 能 力 的 设备 .LAC 根据 PPP 报 文中 所 携带 的 用 户 名 或 者 域名 信息 ， 
和 LNS 建立 L2TP 隧道 连接 ， 将 PPP 协商 延展 到 LNS。 

LAC 可 以 与 同一 个 LNS 发 起 建立 多 条 L2TP 隧道 , 以 使 不 同 用 户 通信 数据 流 之 间 相 
互 隔离 ， 即 一 个 LAC 可 以 承载 多 条 VPDN 连接 ，LAC 在 LNS 和 PPP 终端 之 间 传 递 数 
据 。 即 LAC 从 PPP 终端 收 到 报 文 后 进行 L2TP 封装 发 送 至 LNS， 从 LNS 收 到 报 文 后 进 
行 解 封装 并 发 送 至 PPP 终端 。 

根据 不 同 网 络 场景 ，LAC 可 以 由 不 同 设备 担当 ， 具 体 将 在 5.1.2 市 介绍 。 

4. LNS 

L2TP LNS (L2TP Network Server，L2TP 网 络 服务 器 ) 是 同时 具有 PPP 和 L2TP 协 
议 处 理 能 力 的 设备 , 通常 位 于 企业 总 部 网 络 的 边缘 ,作为 企业 总 部 网 络 的 外 部 网 关 设 备 。 
对 于 L2TP 协商 , LNS 是 LAC 的 对 端 设备 , 即 LAC 和 LNS 建立 了 L2TP 隧道 ; 对 于 PPP 
会 话 ，LNS 是 PPP 会 话 的 逻辑 终止 端点 ， 即 PPP 终端 和 LNS 建立 了 一 条 点 到 点 的 虚拟 
链 路 。 必 要 时 ，LNS 还 兼 有 网 络 地 址 转换 (NAT) 功能 ， 对 企业 总 部 网 络 内 的 私有 IP 
地 址 与 公 网 卫 地 址 进行 转换 。 





在 LAC 和 LNS 上 如 果 不 采 用 本 地 用 户 身份 认证 方式 ,， 则 还 要 部 署 用 于 用 户 身份 
认证 的 远程 RADIUS 服务 器 。 


5.1.2 ”LAC 位 置 的 几 种 情形 


LAC 在 LNS 和 远程 终端 之 间 传 递 数 据 ， 相 当 于 一 台中 继 设 备 。LAC 从 远程 终端 收 
到 报 文 后 进行 L2TP 封装 并 发 送 至 LNS， 同 时 对 来 自 LNS 的 报 文 进行 解 封 装 ， 并 发 送 至 
远程 终端 。 

L2TP VPN 既 可 以 用 于 站 点 到 站 点 〈Site-to-Site) 的 远程 网 络 互 联 ， 如 企业 分 支 机 构 
网 络 与 企业 总 部 网 络 的 互联 ， 又 可 以 用 于 远程 PC (如 移动 办 公用 户 ) 与 企业 总 部 网 络 的 
终端 到 站 点 〈End-to-Site) 互联 ， 针 对 这 两 种 不 同情 形 ，L2TP VPN 中 LAC 的 位 置 有 所 
区 别 ， 本 节 有 具体 介绍 。 

1. PPP 的 Site-to-Site 网 络 连 接 

当 企 业 分 支 机 构 中 的 远程 终端 采用 传统 的 PPP 拨号 (如 普通 Modem 拨号 或 者 ISDN 
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拨号 ) 接 入 Internet， 然 后 再 通过 P2TP 实现 企业 分 支 机 构 与 企业 总 部 网 络 站 点 到 站 点 
(Site-to-Site) 连接 时 , LAC 就 是 ISP 为 企业 用 户 提供 的 NAS, 如 图 5-2 所 示 。 此 时 , LAC 
与 NAS 是 一 台 设 备 ，LAC 也 位 于 ISP 网 络 中 。 


NAS 
(LAC) 


一 | 一 (拨号 网 络 一 他 人 RB 一 (Internet 


ow 





CBE 1 





图 5-2 ”传统 拨号 场景 中 的 LAC 位 置 


2. PPPoOE 的 Site-to-Site 网 络 连 接 

当 企 业 分 文 机 构 网 络 中 ， 为 PPP 终端 配备 了 网 关 设 备 ， 而 且 网 关 设 备 同 时 又 作为 
PPPoE 服务 和 LAC， 如 图 5-3 所 示 。 但 要 注意 的 是 ， 此 时 的 PPPoE 服务 器 (通常 也 是 由 
路 由 右 来 担当 ) 是 位 于 分 文 机 构 网 络 边缘 ， 分 文 机 构 PPPoE 服务 器 的 Internet 接 入 并 不 
需要 进行 PPPoE 拨号 ， 而 是 直接 采用 以 太 网 连接 〈 如 光纤 以 太 网 )， 此 处 部 署 PPPoE 的 
目的 纯粹 是 为 了 终端 用 户 在 连接 企业 总 部 网 络 中 产生 PPP 类 型 的 报 文 ， 因 为 L2TP 协议 
只 能 对 PPP 类 型 的 报 文 进行 封装 。 






LAC 
(PPPoE 服务 器 ) 









PPPoE () 


PPP 终端 | 





L2TP 隧道 0 


| 
| 
(PPPoE 客户 端 ) ’ 
| 
| 


$-3 ”在 PPPoE 拨号 场景 中 LAC 的 位 置 示意 图 


3， 远程 终端 的 End-to-Site 连接 

当 出 差 人 员 使 用 PC 终端 通过 PPP 或 者 PPPoE 接 入 Internet, 然后 再 通过 L2TP 与 企 
业 总 部 网 络 连 接 时 ， 要 在 PC 终端 上 安装 L2TP 拨号 软件 ， 此 时 PC 终端 就 为 LAC， 如 
图 $S-4 所 示 。 







LAC 
(L2TP 拨号 软件 ) 


\ I Bl 






| | 
| | 
| (TR IUD | 
1 | 
图 5-4 在 终端 接 入 场景 中 LAC 的 位 置 示意 图 


5.1.3 L2TP 消息 、 隧 道 和 会 话 
在 整个 L2TP VPN 通信 中 包括 两 类 连接 与 会 话 ， 一 类 是 远程 终端 的 Internet 连接 或 
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会 话 ， 男 一 类 是 L2TP 中 LAC 与 LNS 之 间 的 连接 与 会 话 。 本 节 介 绍 L2TP VPN 通信 中 
所 涉及 的 消息 、 隧 道 和 会 话 类 型 。 

1.L2TP 消息 类 型 

L2TP 协议 定义 了 以 下 两 种 消息 。 

(1) 控制 消息 : 用 于 L2TP 隧道 和 L2TP 会 话 的 建立 、 维 护 和 拆除 ，L2TP 隧道 的 建 
立 、 维 护 和 拆除 必须 依靠 一 系列 的 双 同 L2TP 会 话 来 完成 。 

尽管 L2TP 控制 消息 也 是 采用 UDP 传输 层 协议 进行 传输 ， 但 在 L2TP 控制 消息 的 传 
输 过 程 中 ， 使 用 了 “消息 丢失 重 传 ”和 “定时 检测 隧道 连通 性 ”等 机 制 ， 可 保证 控制 消 
县 传输 的 可 靠 性 ， 并 且 还 文 持 流量 控制 和 拥塞 控制 。 有 关 控 制 消 息 头 部 格式 参见 本 书 第 
一 章 1.3.3 节 的 图 1-9。 

(2) 数据 消息 : 对 用 户 PPP 数据 进行 L2TP 协议 重 封装 后 的 消息 ， 其 格式 如 图 5-5 
所 示 ， 在 原始 的 PPP 数据 最 前 面 加 装 了 L2TP 协议 头 。 

L2TP 数据 消息 也 是 使 用 UDP 传输 层 协议 进行 传输 的 ,L2TP 数据 消息 也 是 使 用 UDP 
传输 层 协 议 进行 传输 的 ， 但 它 有 像 L2TP 控制 消息 那样 的 可 靠 传 输 保 证 机 制 ， 所 以 它 的 
传输 是 可 靠 的 。 但 如 果 L2TP 数据 消息 在 传输 过 程 中 丢失 了 ， 不 可 重 传 ， 也 不 支持 对 数 
据 消 息 的 流量 控制 和 拥塞 控制 。 

L2TP 数据 消息 包括 一 个 会 话 头 〈S$ession Header )、 一 个 可 选 的 二 层 描 述 子 层 
(L2-Specific Sublayer) 和 隧道 负载 (Tunnel Payload), 具体 参见 本 书 第 一 章 1.3.3 节 描 述 。 


L2TP 数 据 消 息 


PPP 数 据 帧 


图 $5-5 _ L2TP 数据 消息 格式 
L2TP 控制 消息 和 L2TP 数据 消息 均 封 装 在 UDP 报 文 中 ， 封 装 格式 如 图 5-6 所 示 。 


IP 协 议 头 “公共 网 络 ) L2TP 控 制 消息 或 数据 消息 


5-6 L2TP 消息 封装 格式 


控制 消息 承载 在 L2TP 控制 通道 上 ， 控 制 通道 实现 了 控制 消息 的 可 靠 传输 ， 将 控制 
消 电 封装 在 L2TP 报头 内 ， 再 经 过 IP 网 络 传输 。 数 据 消息 携带 PPP 数据 帧 承载 在 不 可 靠 
的 数据 通道 上 ， 对 PPP 数据 帧 进行 L2TP 封装 ， 再 经 过 卫 网 络 传输 。 

2.L2TP 隧道 和 会 话 

L2TP 隧道 是 LAC 和 LNS 之 间 的 一 条 虚拟 点 到 点 连接 , 在 这 条 L2TP 隧道 内 传输 的 
消 县 包括 对 应 的 控制 消息 和 数据 消息 。 但 在 同一 对 LAC 和 LNS 之 间 可 以 建立 多 条 L2TP 
隧道 ， 每 条 隧道 可 以 承载 一 个 或 多 个 L2TP 会 话 。 当 远程 终端 系统 和 LNS 之 间 建 立 PPP 
会 话 时 ，LAC 和 LNS 之 间 将 建立 与 其 对 应 的 L2TP 会 话 。 属 于 该 PPP 会 话 的 数据 通过 
该 L2TP 会 话 所 在 的 L2TP 隧道 传输 。 

L2TP 协议 使 用 UDP 端口 1701， 但 这 个 端口 号 仅 用 于 初始 隧道 的 建立 。L2TP 隧道 
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发 起 方 任 选 一 个 空闲 端口 〈 即 源 端 为 任意 端口 ， 通 常 是 大 于 1024 端口 后 的 UDP 端口 ) 
回 接收 方 的 UDP 1701 端口 〈 即 目的 端口 为 UDP 1701) 发 送 报 文 ， 接收 方 收 到 报 文 后 ， 
也 任 选 一 个 空闲 端口 ， 给 发 起 方 选 定 的 端口 回 送 报 文 。 至 此 ， 双 方 的 端口 选 定 ， 并 在 隧 
道 连通 的 时 间 内 不 再 改变 。 


5.2 L2TP 报 文 格式 、 封 装 及 传输 


在 L2TP VPN 通信 中 ,LAC 接收 到 来 自 远 程 终端 发 来 的 PPP (或 PPPoE ) 数据 帧 后 ， 
需要 经 过 L2TP 协议 再 次 封装 才能 最 终 传输 到 远程 LNS 设备 上 。 本 节 将 具体 介绍 在 L2TP 
隧道 中 传输 的 L2TP 报 文 格式 ， 以 及 整个 数据 帧 的 封装 和 解 封 装 的 流程 。 


5.2.1 L2TP 协议 报 文 格式 


远程 终端 拨号 产生 的 PPP (或 PPPoE ) 数据 帧 到 达 LAC 后 要 进行 多 次 重 封装 ， 首 先 
要 通过 L2TP 协议 重 封 装 ， 然 后 再 由 UDP 协议 进行 重 封装 ， 最 后 还 要 通过 公共 IP 网 络 
进行 重 封装 。 经 最 终 封 装 后 的 L2TP 数据 包 格 式 如 图 5-7 所 示 。 


20bytes | 8bytes 6bytes 


PPP 或 PPPoE wi 


图 5-7 L2TP 数据 包 格 式 


从 图 5-7 可 以 看 出 , 经 过 多 次 重 封装 后 , 在 L2TP 隧道 中 传输 的 L2TP 数据 包 比 原始 
的 PPP (或 PPPoE) 数据 帧 多 出 34 个 字 节 (如 果 需 要 携带 序列 号 信息 ， 则 比 原始 数据 帧 
多 出 38 个 字 节 )， 即 20 字 节 新 的 公共 网 络 卫 协议 头 、8 字 节 UDP 协议 头 和 6 个 L2TP 
协议 头 。 这 样 多 次 重 封装 后 ， 最 终 的 L2TP 数据 包 的 长 度 可 能 会 超出 接口 的 MTU 值 ， 而 
L2TP 协 议 本 映 不 文 持 报 文 分 片 功能 ,所 以 需要 设备 文 持 对 卫 数 据 包 的 分 片 功能 . 当 L2TP 
数据 包 长 度 超出 发 送 接口 的 MTU 值 时 ， 在 发 送 接口 进行 报 文 分 片 处 理 ， 接 收 端 对 收 到 
分 片 报 文 进行 还 原 ， 重 组 为 L2TP 数据 包 。 

有 关 L2TP 协议 头 在 本 书 第 1 章 1.3.3 节 有 详细 介绍 ， 在 此 不 再 歼 述 。 


5.2.2 L2TP 协议 报 文 封装 


L2TP 是 PPP 的 扩展 ， 使 PPP 报 文 可 以 通过 隧道 方式 在 公共 网 络 中 传输 。 因 为 如 果 
组 网 中 只 应 用 PPP (包括 PPPoE)， 则 PPP 终端 发 起 的 拨号 ，PPP 数据 帧 最 远 只 能 到 达 
拨号 网 络 (PSTN/ISDN) 的 边缘 节点 NAS， 此 时 NAS 可 以 称 为 PPP 会 话 的 终止 节点 。 
而 应 用 了 L2TP 后 ， 则 可 以 使 PPP 数据 帧 在 IP 类 型 的 公共 网 络 中 透明 传输 ， 到 达 企 业 总 
部 的 LNS， 此 时 LNS 相当 于 PPP 会 话 的 终止 节点 。 

整个 L2TP 数据 包 的 封装 流程 如 图 5-8 所 示 ， 逆 回 传 输 时 进行 的 是 一 系列 对 应 的 解 
封装 过 程 。 下 面 对 其 中 的 关键 太 点 的 封装 原理 进行 说 明 。 

(1) PPP 终端 : 终端 用 户 的 网 络 应 用 IP 报 文 在 数据 链 路 层 进行 PPP 协议 封 疾 (或 同 
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时 要 进行 PPPoE 协议 封装 ， 加 装 PPPoE 报头 )， 形 成 PPP 数据 帧 后 发 送 报 文 。 

(2) LAC: LAC 在 收 到 PPP 数据 帧 后 ， 根 据 报 文 携带 的 用 户 名 或 者 域名 判断 接 入 用 
户 是 否 为 VPDN 用 户 。 如 果 是 VPDN 用 户 ， 则 对 PPP 数据 帧 进行 L2TP 协议 重 封 帮 ， 然 
后 再 根据 LAC 上 配置 的 LNS 的 公 网 卫 地 址 对 L2TP 报 文 分 别 进行 UDP 和 IP 重 封 装 。 
封装 后 的 报 文 最 外 层 IP 报头 中 的 源 卫 地 址 为 LAC 连接 公 网 的 接口 的 了 PP 地址 ， 目 的 IP 
地 址 为 LNS 设备 连接 公 网 的 接口 的 IP 地 址 ， 经 过 公 网 路 由 转发 到 达 LNS。 如 果 不 是 
VPDN 用 户 ， 则 LAC 对 所 收 到 PPP 数据 帧 进行 PPP 解 封装 ， 此 时 LAC 为 PPP 会 话 的 
终止 节点 ， 是 属于 普通 的 PPP 通信 。 


PPP 终端 LAC 





IP 
Packet 


图 5-8 L2TP 数据 包 封 装 流程 


(3) LNS: 当 LNS 收 到 来 自 LAC 发 来 的 L2TP 数据 包 后 ， 依 次 解除 外 层 的 IP 封装 、 
L2TP 封装 、PPP 封 逆 ， 得 到 原始 IP 数据 报 文 。 根 据 报 文中 的 目的 人 地 址 (是 企业 总 部 
网 络 中 的 私 网 IP 地 址 )， 查 找 路 由 表 使 报 文 达到 企业 总 部 的 目的 主机 。 

企业 总 部 响应 分 文 机 构 用 户 时 ， 啊 应 报 文 到 达 LNS 后 查找 路 由 表 (此 时 依据 是 一 种 
称 之 为 UNR 的 路 由 ， 下 面 将 介绍 )， 再 根据 转发 接口 〈 即 LNS 连接 公 网 的 接口 ) 进行 
L2TP 重 封 装 处 理 ， 重 封装 的 过 程 与 LAC 同 LNS 发 送 L2TP 数据 包 的 重 封装 过 程 一 致 ， 
依次 添加 L2TP、UDP 和 IP〈( 公 网 IP 地 址 ) 头 。 到 达 LAC 后 再 要 进行 L2TP 数据 包 的 
解 封装 ， 这 个 解 封装 过 程 也 与 LNS 向 目的 主机 发 送 数 据 时 所 进行 的 整个 解 封 装 过 程 一 
至， 依次 去 掉 前 面 所 添加 的 协议 头 。 

【经 验 提示 】 在 LNS 的 响应 报 文 传输 中 ， 由 于 我 们 在 LNS 上 无 法 为 动态 分 配 IP 地 
址 拨号 用 户 配置 具体 的 路 由 ， 所 以 在 本 地 路 由 表 中 并 没有 我 们 为 响应 报 文 提供 的 路 由 表 
项 ， 使 得 响应 报 文 无 法 进入 隧道 传输 。 但 是 聪明 的 开发 人 员 为 我 们 准备 了 一 条 智能 化 的 
路 由 , 即 UNR (用 户 网 络 路 由 ) 路 由 表 项 ,这 条 UNR 路 由 是 系统 根据 所 接收 的 来 自 L2TP 
客户 端 (通常 即 LAC) 的 VT 接口 私 网 IP 地 址 自动 生成 的 ， 其 下 一 跳 为 远程 VT 接口 的 
私 网 IP 地 址 ， 出 接口 是 本 端 自动 创建 的 LoopBack0 接口 。 通 过 这 条 路 由 就 可 以 把 响应 
报 文 引 入 到 隧道 的 入 接口 。 响 应 报 文 进入 隧道 后 会 被 再 次 封装 成 新 的 IP 报头, 报头 中 的 
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目的 IP 地 址 为 对 端的 公 网 IP 地 址 ( 即 LAC 的 公 网 接口 IP 地 址 ) ， 然 后 LNS 再 根据 这 
目的 IP 地 址 在 本 地 查找 路 由 表 项 (此 时 肯定 可 以 找到 ) , 将 封装 后 的 响应 报 文 发 回 LAC。 

UNR 路 由 是 那些 动态 变化 的 卫 地 址 网 段 自动 生成 的 一 条 路 由 ， 如 在 各 种 拨号 网 络 
中 ， 或 在 通过 NAT 进行 动态 卫 地 址 转换 的 应 用 中 都 需要 用 到 。 


5.2.3 L2TP 数据 包 传 输 


在 利用 L2TP 隧道 进行 PPP 数据 帧 传输 前 ， 需 要 建立 在 LAC 与 LNS 之 间 的 L2TP 
隧道 和 会 话 的 连接 。 对 于 首次 发 起 的 L2TP 连接 流程 如 下 。 

(1) 建立 L2TP 隧道 连接 

在 LAC 收 到 远程 用 户 的 PPP 协商 请 求 时 《根据 PPP 用 户 所 支持 的 PPP 服务 类 型 来 
识别 )，LAC 向 LNS 发 起 L2TP 隧道 请 求 。LAC 和 LNS 之 间 通 过 L2TP 的 控制 消息 ， 协 
商 隧 道 ID、 隧 道 认 证 等 内 容 建 立 一 条 L2TP 隧道 ， 成 功 后 则 建立 起 一 条 L2TP 隧道 ， 并 
由 隧道 ID 进行 标识 。 

(2 建立 121TP 会话 连接 

如 果 L2TP 隧道 已 存在 , 则 在 LAC 和 LNS 之 间 可 通过 L2TP 的 控制 消息 来 协商 会 话 
ID 等 内 容 ， 人 否则 先 建 立 L2TP 隧道 连接 。 就 像 我 们 人 与 人 的 交流 一 样 ， 必 须 先 有 对 话 的 
渠道 ， 然 后 才 可 以 进行 交流 、 对 话 。 会 话 中 携带 了 LAC 的 LCP 协商 信息 和 用 户 认 证 信 
息 ，LNS 对 收 到 的 信息 认证 通过 后 ， 则 通知 LAC 会 话 建立 成 功 。L2TP 会 话 连 接 由 会 话 
ID 进行 标识 。 

(3) 传输 PPP 报 文 

L2TP 会话 建立 成 功 后 , PPP 终 问 才 可 将 应 用 数据 报 文 发 送 至 LAC,LAC 再 根据 L2TP 
隧道 和 会 话 ID 等 信息 进行 L2TP 协议 重 封装 , 并 发 送 到 LNS。LNS 收 到 LAC 发 来 的 L2TP 
数据 包 后 再 进行 L2TP 解 封 逆 处 理 ， 根 据 路 由 转发 表 发 送 至 目的 主机 ， 完 成 报 文 的 传输 。 


5.3 L2TP 隧道 模式 及 隧道 建立 流程 


L2TP 隧道 包括 NAS-Initiated、Client-Initiated 和 LAC-Auto-Initiated 三 种 发 起 模式 ， 
它们 所 对 应 的 隧道 建立 流程 各 目 有 上 所 不 同 。 


5.3.1 NAS-Initiated 模式 隧道 建立 流程 


在 NAS-Initiated (NAS 发 起 ) 的 L2TP 隧道 模式 中 ， 分 文 机 构 远 程 终 疹 用 户 侧 ISP 
网 络 必须 有 一 个 专门 的 NAS 设备 负责 处 理 远程 终端 用 户 的 拨号 请 求 。 远 程 终端 用 户 与 
ISP 网 络 是 通过 拨号 连接 的 (可 以 是 早期 的 PPP Modem 或 ISDN 拨号 ， 也 可 以 是 各 种 
PPPoE 拨号 方式 )。 同 时 是 由 分 支 机 构 ISP 的 NAS 设备 主动 问 企 业 总 部 网 络 边缘 的 LNS 
设备 发 起 L2TP 隧道 连接 建立 请 求 ， 并 对 来 日 远程 终端 用 户 的 PPP 数据 帧 重 封装 转发 到 
企业 总 部 网 络 的 LNS， 再 通过 LNS 上 的 L2TP 协议 支持 ， 解 封装 后 按 配置 的 路 由 表 转 发 
到 目的 主机 。 

这 种 方式 通常 适用 于 分 文 机 构 与 企业 总 部 的 VPN 互联 ， 因 为 通常 只 有 企业 才能 
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ISP 申请 L2TP 服务 , 在 ISP 设备 上 对 远程 终端 用 户 发 起 的 PPP 数据 帧 进行 L2TP 协议 重 
封装 。 其 典型 结构 如 图 5-9 所 示 。 





NAS(LAC) 





分 支 机 构 远程 终端 


图 5-9 NAS-Initiated 模式 L2TP 隧道 示意 图 


NAS-Initiated 模式 L2TP 隧道 具有 如 下 特点 。 
e 远程 终端 系统 只 需 支持 PPP 或 PPPoE 协议 ， 不 需要 支持 L2TP。 
e 对 远程 终端 拨号 用 户 的 身份 认证 与 计 费 既 可 由 LAC 代理 完成 ， 也 可 由 LNS 完成 。 


NAS-Initiated 模式 L2TP 隧道 的 建立 流程 如 图 5-10 所 示 。 
远程 终端 LAC (Device A) RADIUS Server A LAC (DeviceB) RADIUS Server B 
i 


各 
(2) LCP 协 商 





| (3) PPP 认证 | 

| (4) 发 送 认证 请 求 ， 
| (5) 进行 认证 确认 
17) 隧道 认证 
(8) 协商 建立 L2TP 会 话 








| (9) 发 送 用 户 信息 和 LCP 协 商 参数 。 “| 
| 0) 发 计 认证 请 来 
| 

1(11) 返回 认证 结果 
re] 


(12) 为 远程 用 户 分 配 企业 总 部 网 络 私 网 IP 地 址 
| 
| (13) 访问 企业 总 部 网 络 
| 


图 5-10 NAS-Initiated 模式 L2TP 隧道 的 建立 流程 


图 5-10 中 所 示 的 L2TP 隧道 建立 流程 总 的 来 说 是 分 为 三 个 阶段 : 〈1) 远程 终端 用 户 
PSTN 或 ISDN 网 络 拨号 接 入 Internet， 建 立 与 ISP NAS 的 PPP 或 PPPoE 连接 ; (2) 由 
ISPNAS 疝 LNS 发 起 L2TP 隧道 建立 请 求 , 直到 建立 成 功 ; (3) 担 当 NAS 的 LAC 与 LNS 
之 间 协 商 建立 L2TP 会 话 ， 直 到 成 功 为 远程 PPP 或 PPPOE 终端 用 户 分 配 企 业 总 部 内 部 网 
络 的 私有 IP 地 址 。 有 具体 流程 如 下 《〈 以 下 步骤 序号 与 图 中 的 序号 一 致 )。 

1. PPP 或 PPPoE 连接 建立 阶段 

(1) 首先 是 由 远程 终端 系统 向 位 于 ISP 的 NAS ( 即 LAC，DeviceA) 发 起 PPP 或 者 
PPPoE 呼叫 ， 请 求 建立 PPP 或 PPPoE 连接 。 

(2) LAC 在 收 到 远程 终端 的 建立 请 求 报 文 后 ,进行 PPP LCP( 链 路 控制 协议 ) 协商 ， 
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这 其 中 包括 远程 终端 癌 LAC 发 送 的 用 于 PPP 连接 建立 的 用 户 认证 信息 。 

(3) LAC 根据 收 到 来 目 远程 终 端 发 来 的 用 户 认证 信息 对 远程 终端 主机 进行 PAP 或 
CHAP 认证 (根据 配置 的 认证 模式 选择 )。 

(4) 如 果 PPP 认证 不 是 由 NAS (LAC) 设备 本 地 进行 的 ， 则 NAS 会 将 远程 终端 提 
交 的 认证 信息 (用 户 名 、 密 码 ) 发 送 给 远程 的 RADIUS 服务 器 (RADIUS Server A) 进 
行 认 证 。 

(5) NAS 设备 或 者 RADIUS 服务 器 返回 最 终 的 PPP 认证 结果 ， 如 果 是 由 RADIUS 
服务 器 进行 认证 的 ， 则 认证 结果 还 会 由 NAS 设备 转发 给 远程 终端 。 

2.L2TP 隧道 建立 阶段 

(6) 通过 PPP 认证 后 ， 由 LAC 设备 根据 用 户 名 或 用 户 所 属 ISP 域 判断 该 用 户 是 否 
为 L2TP 用 户 〈 根 据 在 LAC 设备 上 的 用 户 服务 类 型 配置 确定 )， 如 果 是 ， 则 LAC 会 辐 
LNS (Device B) 发 送 L2TP 隧道 建立 请 求 报 文 。 

(7) 如 果 配 置 了 隧道 建立 认证 功能 ， 则 LAC 和 LNS 会 分 别 向 对 方 发 送 CHAP 
challenge 消息 , 以 验证 对 方 身 份 。 隧 道 验证 通过 后 , LAC 和 LNS 之 间 就 成 功 建立 了 L2TP 
隧道 。 隧 道成 功 建立 后 还 需要 在 LAC 与 LNS 之 间 建 立 L2TP 会 话 , 以 传输 L2TP 数据 包 。 

3. L2TP 会 话 建 立 阶 段 

(8) LAC 和 LNS 之 间 在 建立 的 L2TP 隧道 上 协商 建立 L2TP 会 话 。 

(9) 首先 由 LAC 将 远程 PPP 终端 用 户 信息 和 PPP 协商 参数 等 传送 给 LNS， 以 便 进 
行 L2TP 会 话 建立 认证 。 

(10) 如 果 不 是 由 LNS 设备 本 地 进行 认证 ， 则 还 需要 将 认证 信息 发 送 给 RADIUS 服 
务 器 (RADIUS Server B) 进行 认证 。 

(11) LNS 设备 或 RADIUS 服务 器 将 L2TP 会 话 建立 认证 结果 返回 给 LAC。 

(12) L2TP 会 话 建立 认证 通过 后 ，LNS 会 为 远程 PPP 终端 用 户主 机 分 配 一 个 企业 总 
部 网 络 私 有 卫 地址。 

(13) 远程 终端 主机 在 获得 由 LNS 分 配 的 企业 总 部 网 络 私有 IP 地 址 后 ， 远 程 终端 
PPP 用 户 就 可 以 成 功 访问 企业 总 部 网 络 内 部 资源 了 。 






在 以 上 步骤 (12) 和 步骤 (13) 中 ，LAC 负责 在 远程 终端 主机 和 LNS 之 间 转 发 
报 文 ,远程 终端 主机 与 LAC 之 间 交 互 的 是 PPP 数据 帧 ,LAC 和 LNS 之 间 交 互 的 是 L2TP 
数据 包 。 


5.3.2 ”LAC-Auto-lnitiated 模式 隧道 建立 流程 


本 节 所 介绍 的 隧道 建立 模式 同样 仅 适 用 于 站 点 到 站 点 的 网 络 连 接 情形 。 

5.3.1 节 介 绍 的 NAS-Initiated 降 道 模式 ， 要 求 分 文 机 构 远 程 终端 系统 必须 通过 PSTN/ 
ISDN 网 络 以 PPP 或 PPPoE 拨 入 NAS ( 即 LAC)， 且 只 有 在 分 支 机 构 远 程 终端 系统 成 功 拨 
入 NAS 后 , 才能 触发 由 NAS 同 LNS 发 起 的 隧道 建立 请 求 。 如 果 远 程 终端 系统 与 LAC 的 连 
接 不 是 采用 拨号 方式 ， 而 是 采用 以 太 网 连接 方式 ， 此 时 就 不 能 采用 NAS-Initiated 方式 来 建 
立 L2TP 隧道 ， 这 时 只 能 选择 采用 本 节 介 绍 的 LAC-Auto-Initiated (LAC 自动 发 起 ) 模式 了 。 
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当 分 支 机 构 远程 终端 系统 与 LAC 的 连接 是 基于 拨号 方式 时 ， 也 可 采用 本 节 介 绍 
的 LAC-Auto-Initiated 模式 在 LAC 与 LNS 间 建 立 L2TP 隧道 。 


LAC-Auto-Initiated 模式 的 L2TP 体系 结构 如 图 5-11 所 示 。 在 LAC-Auto-Initiated 模 
式 下 , 远程 终端 系统 与 LAC 的 连接 通常 不 是 采用 拨号 方式 , 而 是 直接 采用 远程 以 太 局 网 
专线 连接 , 此 时 了 吏 不 需要 由 远程 终端 系统 进行 PPP 或 PPPoE 拨号 来 触发 LAC 加 LNS 发 
起 L2TP 隧道 建立 请 求 ， 而 是 需要 在 LAC 设备 上 通过 执行 相关 的 命令 来 触发 。 






加 


公司 总 部 网 络 


分 支 机 构 远程 终端 


图 5-11 LAC-Auto-Initiated 模式 L2TP 隧道 示意 图 


LAC-Auto-Initiated 模式 L2TP 隧道 具有 如 下 特点 。 

e。 远程 终端 系统 和 LAC 之 间 可 以 是 任何 基于 IP 的 连接 , 可 以 但 不 局 限于 拨号 连接 。 

。 不 需要 远程 终端 系统 上 的 拨号 接 入 来 触发 建立 L2TP 隧道 。 

e。 L2TP 隧道 创建 成 功 后 立即 建立 L2TP 会 话 ， 然 后 在 LAC 和 LNS 之 间 进 行 PPP 
协商 。 此 时 ，LAC 和 LNS 分 别 作 为 PPP 客户 端 和 PPP 服务 器 端 

e。 一 条 L2TP 隧道 上 只 承载 一 个 L2TP 会 话 。 

e。 LNS 为 LAC 分 配 企业 网 内 部 的 IP 地址， 而 不 是 为 远程 终端 主机 分 配 。 

色 5-12 所 示 的 是 LAC-Auto-Initiated 模式 L2TP 隧道 建立 的 基本 流程 ， 其 中 的 具体 
流程 其 实 包 括 了 5.3.1 节 介 绍 的 NAS-Initiated 隧道 模式 的 第 2、3 阶段 , 对 应 图 5-10 中 的 
第 (6) 一 (13) 步 ， 不 再 歼 述 。 


远程 终端 LAC LNS (Device A) RADIUS Server 


Wy 





(1) 发 送 L2TP 隧 道 建 立 请 求 


\ 
| | 
| | 
| | | 
| | 
| (2) 隧道 认证 
一 一 一 一 一 一 | 
| “(3) 协商 建立 L2TP 会 话 | | 
st od det: 
| | 
\ | (4) 发 送 用 户 信息 和 LCP 协 商 参数 “| 
be 
| 1 (5) 发 送 认证 请 求 | 
| 
’ | i | 
1 (7) 为 LAC 分 配 总 部 的 私 网 下 地 址 (6) 返 加 认证 结果 | 
a a kn hn 
| | 
| | 、 
| (8) 访问 企业 总 部 网 络 | 
了 
| 


图 5-12” LAC-Auto-Initiated 模式 L2TP 隧道 的 建立 流程 


246 华为 VPN 学 习 指 南 


5.3.3 Client-lnitiated 模式 隧道 建立 流程 


5.3.1 方 和 5.3.2 市 介 绍 的 L2TP 隧道 模式 下 的 隧道 建立 都 是 由 LAC 发 起 的 ， 本 节 介 
绍 的 Client-Initiated (客户 端 发 起 ) 模式 中 的 L2TP 隧道 是 由 远程 终端 用 户主 机 发 起 的 ， 
适用 于 移动 办 公主 机 独立 与 企业 总 部 网 络 连 接 的 情形 ， 是 端 到 站 点 的 主机 与 网 络 连接 情 
形 ， 如 图 5-13 所 示 。 





图 5-13 ”Client-Initiated 模式 L2TP 隧道 示意 图 


此 时 ，LAC 是 由 远程 终端 主机 担当 ， 但 要 求 远程 终端 主机 必须 支持 L2TP 协议 ， 且 
要 分 配 有 公 网 IP 地 址 〈 可 以 是 动态 的 )。 在 远程 终端 主机 能 够 通过 Internet 与 企业 总 部 
网 络 的 LNS 设备 通信 后 ， 由 担当 LAC 的 远程 终端 主机 触发 L2TP 拨号 ， 直 接 向 LNS 发 
起 L2TP 隧道 建立 请 求 。 

Client-Initiated 模式 L2TP 隧道 具有 如 下 特点 。 

e 虽然 远程 终端 用 户 必须 先 成 功 接 入 Internet, 但 是 它 与 LNS 之 间 隧 道 的 建立 不 是 由 终 
端 用 户 Internet 连接 触发 的 , 而 是 直接 由 担当 LAC 的 远程 终端 用 户主 机 通过 L2TP 拨号 软件 
(如 Window 系统 目 带 的 L2TP 客户 并 功能 ， 或 者 是 Huawei VPN Client 软件 ) 主动 触发 的 。 

。 隧道 在 远程 终端 主机 和 LNS 之 间 建 立 ， 上 共有 较 高 的 安全 性 。 

。 Client-Initiated 模式 L2TP 隧道 对 远程 终端 系统 要 求 较 高 ， 必 须 支 持 L2TP 协议 ， 
且 能 够 与 LNS 通信 ， 因 此 和 它 的 扩展 性 较 差 。 

Client-Initiated 模式 L2TP 隧道 的 建立 流程 如 图 5-14 所 示 ， 其 实 这 也 与 5.3.2 节 介 绍 的 
LAC-Auto-Initiated 模式 L2TP 隧道 建立 的 基本 流程 一 样 ， 不 同 的 是 这 里 的 LAC 是 由 远程 终 
端 用 户主 机 担当 ， 不 是 NAS 设备 担当 ， 也 不 是 PPPoE 设备 担当 ， 对 应 5.3.1 市 介绍 的 
NAS-Initiated 隧道 模式 的 第 2、 第 3 阶段 ， 即 对 应 图 5-10 中 的 第 〈6) ~~ (13) 步 ， 不 再 殉 述 。 


LAC“《〈 远 程 终 端 ) LNS (Device A) ”RADIUS Server 








(2) 隧道 认证 


| 

| 

| (3) 协商 建立 L2TP 会 话 

SA 
” “(4) 发 送 用 户 信息 和 LCP 协 商 参数 





| 

| \ 半 > 人 下: 去 < 
(5) 发 送 认证 请 求 | 
| (6) 返回 认证 结果 | 
ni 


(7) 为 远程 终端 分 配 总 部 的 私 网 IP 地 址 | ! 
(8) 访问 企业 总 部 网 络 | 
0 
| 


图 5-14 ”Client-Initiated 模式 L2TP 隧道 的 建立 流程 
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5.4 L2TP 的 主要 应 用 


5.3 节 介 绍 了 三 种 L2TP 隧道 模式 ， 其 实 它 们 各 自 对 应 不 同 的 L2TP 应 用 。 对 接 入 用 
户 的 身份 认证 也 有 两 种 选择 ， 一 是 由 LAC 和 LNS 设备 本 地 进行 ， 二 是 采用 远程 的 
RADIUS 服务 器 。 根据 5.3 节 介 绍 的 不 同 L2TP 隧道 模式 ， 以 及 不 同 的 网 络 场景 和 安全 需 
求 可 采用 以 下 几 种 L2TP 协议 部 署 方式 。 

e。 远程 拨号 用 户 发 起 L2TP 隧道 连接 

。 LAC 接 入 拨号 请 求 发 起 L2TP 降 道 连接 

。 LAC 接 入 PPPoE 用 户 发 起 L2TP 隧道 连接 

e LAC 目 拨号 发 起 L2TP 隧道 连接 

。 LAC 接 入 多 域 用 户 发 起 L2TP 隧道 连接 

1. 远程 拨号 用 户 发 起 L2TP 隧道 连接 

在 本 书 第 一 章 就 已 介绍 到 ，L2TP 既 可 应 用 于 分 支 机 构 网 络 与 企业 总 部 网 络 的 站 点 
到 站 点 连接 ， 还 可 以 应 用 于 移动 办 公用 户 对 企业 总 部 网 络 资源 的 访问 。 

企业 移动 办 公 员 工 的 地 理 位 置 经 常 发 生 移动 ， 当 需要 随时 与 企业 总 部 网 络 通 信 ， 并 
访问 总 部 内 网 资源 时 ， 可 将 企业 总 部 网 关 部 署 为 LNS， 移 动 办 公 员 工 在 PC 终 疹 上 使 用 
L2TP 拨号 软件 〈 先 要 已 成 功 接 入 了 Internet)， 则 可 以 在 移动 办 公 员 工 和 企业 总 部 网 关 之 
间 建 立 虚 拟 的 点 到 点 连接 , 同时 LNS 还 可 以 对 接 入 用 户 进行 身份 验证 ， 并 为 远程 终端 用 
户 分 配 企业 总 部 网 络 的 私有 IP 地址， 实现 对 企业 总 部 网 络 内 部 资源 的 访问 。 如 果 部 署 
ACL 还 可 以 管理 接 入 用 户 的 访问 权限 。 这 种 远程 拨号 用 户 发 起 的 L2TP 隧道 连接 方式 的 
基本 结构 如 图 5-15 所 示 ， 对 应 5.3.3 节 介 绍 的 Client-Initiated 隧道 模式 。 





移动 办 公 人 员 企业 总 部 
〈 需 安装 L2TP 拨 号 软件 ) 


图 5-15 ”远程 拨号 用 户 发 起 L2TP 隧道 连接 示意 图 


在 这 种 问 到 站 点 的 L2TP 应 用 中 , 为 了 确保 出 差 用 户 与 企业 总 部 网 络 通信 的 安全 性 ， 
还 可 以 与 IPSec 技术 结合 ， 因 为 L2TP 无 法 为 报 文 传输 提供 加 密 保 护 。 这 时 ， 在 出 差 用 
户 的 PC 终端 上 运行 L2TP 拨号 软件 ， 担 当 LAC 角色 ， 发 送 的 数据 报 文 将 先进 行 L2TP 
封装 ， 再 进行 PSec 封装 ， 发 往 企 业 总 部 网 络 。 再 在 企业 总 部 网 关 部 署 IPSec 策略 ， 用 
以 上 方法 还 原 出 原始 数据 。IPSec 功能 就 会 对 所 有 源 IP 地 址 为 LAC、 目 的 IP 地 址 为 LNS 
的 报 文 进行 保护 ， 提 高 了 L2TP 通信 的 安全 性 。 

2. LAC 接 入 拨号 请 求 发 起 L2TP 隧道 连接 

前 文 介 绍 的 是 一 种 适合 于 移动 办 公用 户 与 企业 总 部 网 络 互联 的 情形 ， 属 于 闯 到 站 点 
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的 L2TP 网 络 连接 。 当 企业 总 部 在 其 他 城市 设 有 分 支 机 构 ， 而 且 分 支 机 构 位 于 传统 的 
PSTN 或 ISDN 网 络 , 要 实现 分 文 机 构 网 络 与 企业 总 部 网 络 互联 时 , 就 需要 采取 如 图 5-16 
所 示 的 L2TP 网 络 结构 ， 属 于 站 点 到 站 点 的 L2TP 网 络 连接 ， 对 应 5.3.1 节 介 绍 的 
NAS-Initiated 模式 。 

此 时 分 支 机构 需 要 向 ISP 申请 L2TP 服务 ，ISP 将 NAS 配置 为 LAC， 以 实现 将 分 支 机 
构 用 户 的 拨号 连接 通过 Internet 延展 到 企业 总 部 网 络 LNS。 企 业 将 总 部 的 网 关 配置 为 LNS， 
为 分 文 机 构 用 户 提 供 接 入 服务 ， 实 现 分 文 机 构 用 户 和 企业 总 部 网 关 之 间 的 VPDN 连接 。 





图 5-16 LAC 接 入 拨号 请 求 发 起 L2TP 隧道 连接 示意 图 


3. LAC 接 入 PPPoE 用 户 发 起 L2TP 隧道 连接 

这 种 情形 与 上 一 种 情形 有 些 类 似 ， 都 是 用 于 实现 分 支 机 构 网 络 与 企业 总 部 网 络 的 站 
点 到 站 点 互联 , 不 同 的 是 此 处 的 分 文 机 构 是 采用 以 太 网 络 方式 (如 各 种 光纤 以 太 网 接 入 ， 
无 需 拨号 ) 接 入 Internet 时 ， 需 要 采用 如 图 5-17 所 示 的 L2TP 网 络 结构 ， 也 对 应 5.3.1 节 
介绍 的 NAS-Initiated 模式 ， 但 是 此 时 的 LAC 可 能 直接 位 于 分 支 机 构 内 部 网 络 中 ， 而 不 
是 位 于 ISP 网 络 。 








FE 
| 





图 5-17 LAC 接 入 PPPoE 用 户 发 起 L2TP 隧道 连接 示意 图 





在 NAS-Initiated 模式 中 ， 根 据 不 同 的 应 用 场景 ，LAC 既 可 位 于 分 支 机 构 侧 ISP 
网 络 中 (此 时 分 支 机 构 是 通过 拨号 方式 接 入 Internet 的 )， 也 可 位 于 分 支 机 构 网 络 中 (此 
时 分 支 机 构 网 络 是 直接 采用 以 太 网 方式 接 入 到 Internet 的 )。 


因为 L2TP 通信 是 基于 PPP 数据 帧 的 ， 但 PPP 数据 帧 不 能 直接 在 以 太 网 中 传输 ， 所 
以 需要 在 分 支 机 构 终 端 用 户主 机 上 要 安装 PPPoE 客户 端 软件 ， 在 分 支 机 构 网 关上 部 署 
PPPoE 服务 器 ， 并 担当 LAC， 这 样 分 支 机 构 终端 用 户 访问 企业 总 部 网 络 资源 时 的 数据 报 
文 会 先进 行 PPPoE 封装 ， 在 以 太 网 上 传输 ， 然 后 再 由 了 PPPoE 服务 器 (同时 也 是 LAC ) 
再 进行 L2TP 封装 ， 发 送 到 企业 总 部 网 络 LNS。 企 业 总 部 网 络 的 网 关 担 当 LNS 角色 ， 负 
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责 统一 管理 分 文 机 构 用 户 的 接 入 。 

另外 ， 虽 然 LAC 和 LNS 都 可 以 通过 配置 本 地 方式 对 分 支 机 构 用 户 进行 认证 ， 但 当 
接 入 用 户 数 目 较 多 时 不 便于 设备 进行 本 地 维护 ,这 时 可 以 部 署 RADIUS 服务 器 来 对 接 入 
用 户 进 行 认 证 。LAC 侧 的 RADIUS 服务 器 需要 文 持 L2TP 认证 ， 以 此 来 判断 接 入 用 户 是 
否 为 VPDN 用 户 ， 并 把 反馈 结果 给 LAC 自己 ， 然 后 再 对 这 些 用 户 向 LNS 发 起 L2TP 隧 
道 建立 请 求 ， 则 LNS 侧 配 置 的 RADIUS 服务 如 进行 认证 。 

4. LAC 自 拨号 发 起 L2TP 隧道 连接 

此 处 介绍 的 情形 又 与 上 一 种 情形 类 似 ， 企 业 分 文 机 构 也 是 采取 以 太 网 接 入 Internet， 
不 同 的 是 上 一 种 情形 是 由 终端 用 户 手 动 PPPoE 拨号 来 发 送 PPP 数据 帧 ， 然 后 由 LAC 传 
输 到 企业 总 部 网 络 的 ， 而 此 处 企业 总 部 允许 分 支 机 构 的 任意 用 户 接 入 ， 只 对 分 支 机 构 网 
关 进 行 认 证 ， 由 LAC 到 LNS 的 隧道 建立 过 程 是 由 LAC 目 动 拨号 进行 的 。 

此 时 ， 企 业 总 部 网 关 部 署 为 LNS， 分 文 机 构 网 关 部 署 为 LAC， 并 在 分 文 机 构 网 关 创 
建 虚 拟 拨号 ， 触 发 到 总 部 的 L2TP 隧道 连接 。 通 过 LAC 自 拨号 的 方式 ， 在 LAC 和 LNS 
之 间 建 立 虚 拟 的 点 到 点 连接 ， 分 文 机 构 用 户 的 王 报 文 到 达 LAC 后 路 由 转发 到 虚拟 拨号 
接口 , 送 达 LNS 后 经 路 由 转发 到 达 目 的 主机 。 其 基本 网 络 结构 如 图 5-18 所 示 , 对 应 5.3.2 
节 介 绍 的 LAC-Auto-Initiated 模式 。 


Internet mw 


和 2 





图 5-18 LAC 目 拨 号 发 起 L2TP 隧道 连接 示意 图 






“在 本 节 第 3、 第 4 种 情形 中 ， 当 企业 对 数据 和 网 络 的 安全 性 要 求 较 高 时 ，L2TP 
无 法 为 报 文 传输 提供 足够 的 保护 ， 这 时 还 可 以 与 IPSec 功能 结合 使 用 ， 用 于 保护 L2TP 
隧道 中 传输 的 数据 ， 有 效 避 免 数 据 被 截取 或 攻击 。 此 时 ， 先 在 LAC 上 将 数据 报 文 进行 
IPSec 封装 , 再 进行 L2TP 封装 , 发 往 企业 总 部 LNS。 在 企业 总 部 网 关上 同样 要 部 署 IPSec 
策略 ， 用 以 还 原 原 始 数据 。 


5.5 华为 设备 对 L2TP VPN 的 支持 


在 华为 设备 中 ，S 系列 交换 机 不 支持 L2TP VPN，AR G3 系列 路 由 器 和 防火 墙 等 支 
持 ， 既 可 担当 LAC， 也 可 担当 LNS， 本 书 仅 针 对 华为 AR G3 系列 路 由 器 进行 介绍 。 

1. LAC 接 入 多 域 用 户 发 起 L2TP 隧道 连接 

企业 总 部 和 各 分 文 机 构 有 业务 往来 ， 不 同 的 分 支 机 构 需 要 访问 企业 总 部 的 不 同 部 


250 华为 VPN 学 习 指南 


|， 总 部 为 不 同 分 广 机 构 的 员工 提供 接 入 服务 ， 使 用 L2TP 功能 和 分 支 机 构建 立 VPDN 
连接 ， 如 图 5-19 所 示 。- 





user(Wb.com 


5-19 LAC 接 入 多 域 用 户 发 起 L2TP 隧道 连接 示意 图 


因 接 入 用 户 较 多 ， 可 以 配置 分 支 机 构 的 网 关 设 备 按照 域名 判断 接 入 用 户 是 否 VPDN 
用 户 ， 简 化 VPDN 的 部 署 。 各 分 文 机 构 之 间 使 用 不 同 的 L2TP 隧道 ， 获 取 不 同 网 段 的 IP 
地 址 。 分 文 机 构 用 户 发 起 到 总 部 的 连接 时 ， 因 为 源 地 址 和 目的 地 址 都 由 总 部 分 配 ， 所 以 
总 部 可 以 配置 ACL 实现 对 分 支 机 构 访问 权限 的 管理 。 

2. 隧道 模式 支持 

(1) 当 AR G3 系列 路 由 器 担当 LAC 时 ， 是 部 署 在 分 支 机 构 网 络 或 分 支 机 构 侧 ISP 
网 络 中 ， 用 于 与 LNS 建立 L2TP 连接 。 这 种 情形 下 支持 如 下 两 种 应 用 。 

(DD 接 入 呼叫 发 起 L2TP 连接 

所 谓 “ 接 入 呼叫 发 起 L2TP 连接 ”就 是 表示 LAC 到 LNS 的 L2TP 隧道 连接 是 由 远程 
拨号 用 户 〈PPP/PPPoE 拨号 ) 的 接 入 呼叫 触发 LAC 发 起 的 ， 对 应 NAS-Initiated 隧道 模 
式 ， 是 由 远程 拨号 用 户 的 PPP 报 文 被 动 触发 的 。 此 时 远程 终端 用 户 通过 PPP 或 PPPoE 
拨号 接 入 LAC， 然 后 LAC 将 远程 用 户 信 息 传递 给 LNS，LNS 验证 远程 用 户 信 息 并 完成 
L2TP 隧道 连接 的 建立 。 企 业 总 部 LNS 统一 管理 远程 用 户 的 访问 请 求 ， 但 远程 用 户 需 要 
配置 接 入 LAC 的 拨号 。 、 少 

@ 自 拨号 发 起 L2TP 连接 

目 拨号 发 起 L2TP 连接 情形 是 对 应 LAC-Auto-Initiated 隧道 模式 , 此 时 远程 终端 用 户 
是 通过 以 太 网 络 〈 如 光纤 以 太 网 ) 连接 LAC 的 。 这 时 LAC 要 与 LNS 建立 L2TP 连接 ， 
必须 目 己 主动 向 LNS 发 起 虚拟 L2TP 拨号 ， 而 没有 远程 用 户 的 拨号 请 求 来 触发 拨号 了 。 
LAC 建立 虚拟 的 L2TP 拨号 请 求 将 自己 的 信息 传递 给 位 于 企业 总 部 网 络 的 LNS, LNS 验 
证 LAC 的 信息 并 完成 L2TP 连接 的 建立 。 因 为 L2TP 连接 是 由 LAC 主动 发 起 的 ， 所 以 
企业 总 部 网 络 只 管理 LAC 的 访问 请 求 , 不 再 统一 管理 远程 用 户 ( 即 信任 所 有 远程 用 户 )， 
远程 用 户 无 需 特殊 配置 ， 只 要 已 与 LAC 建立 普通 连接 即 可 访问 企业 总 部 。 
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1 “因为 在 5.3 节 介 绍 的 Client-Initiated 模式 中 , 隧道 建立 是 由 安装 了 L2TP 拨号 功能 
软件 的 终端 用 户主 机 发 起 的 , 不 是 采用 路 由 器 设备 ,所 以 这 时 华为 AR G3 系列 路 由 器 就 
不 能 担当 LAC 角色 了 ， 仅 可 担当 LNS 角色 了 。 


(2) 当 AR G3 系列 路 由 器 担当 LNS 时 ， 是 部 署 在 企业 总 部 网 络 边缘 ， 通 第 作为 企 
业 总 部 网 络 的 网 关 。LNS 接收 LAC 所 传递 的 用 户 信息 《可 以 是 远程 拨号 用 户 ， 也 可 以 
是 LAC 主动 发 起 L2TP 连接 时 所 用 的 用 户 )， 对 接 入 的 用 户 身 份 进行 验 证 ， 响 应 LAC 发 
起 〈 可 以 是 被 动 触发 的 ， 也 可 以 是 主动 发 起 的 ) 的 L2TP 隧道 连接 请 求 ， 和 LAC 共同 建 
YL2TP 连接 。 

3. L2TP 安全 特性 支持 

AR G3 系列 路 由 器 支持 下 列 功 能 保证 L2TP 连接 的 安全 和 可 靠 ， 用 户 可 以 根据 需要 
选择 部 署 。 

(1) RADIUS 认证 

LAC 和 LNS 均 可 部 署 本 地 认证 ， 在 设备 上 保存 用 户 信息 ， 验 证 接 入 用 户 的 身份 ， 为 
通过 验证 的 用 户 建立 隧道 连接 。 但 用 户 数目 过 多 时 ， 本 地 保存 的 用 户 信息 变动 频繁 ， 维 护 
量 大 ， 容 易 出 错 ， 可 通过 RADIUS 服务 器 认证 方式 ， 将 用 户 信 息 保 存在 RADIUS 服务 器 
上 进行 维护 ， 同 时 减轻 设备 的 负担 。 但 在 “ 自 拨号 发 起 L2TP 连接 ”应 用 中 ， 在 LAC 上 无 
需 配 置 用 户 身份 认证 功能 ， 因 为 此 时 L2TP 拨号 连接 建立 所 用 的 用 户 是 LAC 目 己 配置 的 。 

(2) LCP 重 协商 

在 “ 接 入 呼叫 发 起 L2TP 连接 ”应 用 中 ，LAC 对 接 入 用 户 认证 ， 认 证 通过 后 ， 将 认 
证 信息 发 送 给 LNS, LNS 根据 认证 信息 判断 用 户 是 否 合法 。 但 如 果 LNS 不 信任 LAC (如 
远程 终端 用 户 是 通过 拨号 与 LAC 连接 时 )， 需 要 对 远程 用 户 再 次 认证 ， 则 可 以 使 用 LCP 
重 协 商 功 能 。 远 程 用 户 和 LNS 重新 开始 PPP 协商 ， 协 商 成 功 后 才能 建立 L2TP 连接 。 

(3) 强制 CHAP 认证 

LNS 收 到 LAC 所 传递 的 认证 信息 后 ， 如 果 LNS 对 安全 性 要 求 较 高 ， 可 使 用 强制 
CHAP 认证 功能 ， 则 LNS 只 对 远程 用 户 进行 CHAP 认证 。 如 果 此 时 LAC 使 用 了 PAP 的 
认证 方式 ， 就 无 法 通过 LNS 的 认证 ， 不 能 建立 L2TP 会 话 。 但 强制 CHAP 认证 不 能 和 
LCP 重 协商 同时 生效 ， 如 果 同 时 部 署 , 则 只 进行 LCP 重 协 商 ， 不 进行 CHAP 强制 认证 。 

(4) 主 备 LNS : 

对 可 靠 性 要 求 较 高 的 企业 ， 在 总 部 部 署 双 网 关 ， 一 主 一 备 。 当 主 网 关 故 障 时 ， 业 务 
切换 到 备份 网 关 ， 则 LAC 发 起 的 L2TP 连接 请 求 无 法 到 达 LNS， 此 时 可 以 在 LAC 上 同 
时 配置 总 部 备份 网 关 的 IP 地 址 ， 当 第 一 个 地 址 不 可 达 时 , 按 配 置 先后 顺序 向 备份 网 关 地 
址 发 起 L2TP 连接 请 求 ， 在 LAC 上 实现 LNS 的 主 备 功能 。 

(5) AVP 参数 隐藏 

AVP (Attribute Value Pair， 属 性 值 ) 是 定义 在 控制 消息 中 的 字段 组 ， 用 于 承载 建立 
L2TP 连接 所 需要 的 信息 ， 一 个 字段 组 内 可 以 填 入 一 个 L2TP 协商 的 参数 〈(L2TP 版 本 、 
主机 名 称 、 隧 道 ID 等 )。 所 以 AVP 会 携带 L2TP 的 各 种 参数 信息 ， 一 个 控制 消息 中 可 以 
包含 有 多 个 AVP。 例 如 LAC 首次 癌 LNS 发 起 L2TP 连接 时 ， 会 在 控制 消息 的 AVP 中 填 
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入 隧道 D， 发 送 给 LNS。 

L2TP 连接 的 建立 是 通过 在 LAC 和 LNS 之 间 交 换 控 制 消息 , 而 控制 消息 中 则 携带 了 
各 种 AVP 参数 ， 包 含 了 用 户 名 、 密 码 等 关键 信息 。 此 时 通过 部 团 AVP 参数 隐藏 功 能 ， 
在 L2TP 连接 期 间 ， 对 AVP 参数 加 密 ， 隐 藏 各 种 关键 信息 ， 提 高 安全 性 。 

部 普 AVP 参数 隐藏 功能 ， 需 要 先 部 壮 L2TP 降 道 认证 功能 。 

(6) L2TP 隧道 认证 

对 安全 要 求 较 高 时 ， 可 部 署 L2TP 隧道 验证 功能 。 在 LAC 和 LNS 上 配置 相同 的 共 
享 密 钥 ，L2TP 隧道 建立 过 程 时 ， 互 相 验 证 对 端的 密 钥 是 否 和 本 端 相同 ， 达 到 简单 的 安 
全 验证 要 求 。 

(7) Hello 报 文 

Hello 报 文 用 于 检测 LAC 和 LNS 之 间 隧 道 的 连通 性 。Hello 报 文 超时 ， 则 目 动 拆除 
建立 的 L2TP 隧道 , 及 时 释放 资源 。 企 业 可 以 根据 实际 需要 , 部 灵 Hello 报 文 的 时 间 参 数 。 

4.， 缺 省 配置 

在 AR G3 系列 路 由 器 中 ， 有 关 L2TP 的 一 些 功能 和 参数 都 有 缺 省 配置 ， 了 解 这 些 缺 省 
配置 对 我 们 正确 配置 设备 的 LAC 或 LNS 角色 功能 非常 重要 。 有 具体 的 缺 省 配置 如 表 $-1 所 示 。 

表 5-1 AR G3 系列 路 由 器 的 L2TP 功能 缺 省 值 。 


表 S-1 AR G3 系列 路 由 器 的 L2TP 功能 缺 省 值 
功能 或 参数 缺 省 什 
12tp enable 未 使 能 L2TP 功能 
tunnel authentication 使 能 L2TP 隧道 认证 功能 
tunnel password 无 隧道 认证 字 ， 即 没有 配置 障 道 认证 的 共享 密 铀 
tunnel name 隧道 名 称 和 设备 名 称 相 同 
tunnel avp-hidden 未 使 能 AVP 参数 加 密 功能 
mandatory-chap 未 使 能 CHAP 强制 认证 功能 
mandatory-lcp 未 使 能 LCP 重 协商 功 能 
tunnel timer hello Hello 报 文 每 隔 60s 发 送 一 次 


5.6 LAC 接 入 呼叫 发 起 L2TP 隧道 连接 的 配置 与 管理 


本 节 所 介绍 的 L2TP 功能 配置 与 管理 方法 适用 于 所 有 由 LAC 发 起 的 L2TP VPN 通信 
场景 ， 包 括 采 用 各 种 拨号 方式 〈 可 以 是 PPP 或 PPPoE 拨号 ) 触发 LAC 发 起 L2TP 隧道 
建立 的 NAS-Initiated 隧道 模式 (LAC 既 可 位 于 分 支 机 构 侧 ISP 网 络 中 ， 也 可 位 于 分 文 
机 构 网 络 中 ) 和 由 远程 终端 主机 担当 LAC 角色 发 起 的 L2TP 隧道 建立 的 Client-Initiated 
模式 〈 此 时 AR G3 系列 路 由 器 仅 部 署 在 企业 总 部 网 络 边缘 ， 担 当 LNS 角色 ) 。 

在 配置 L2TP 之 前 ， 需 完成 LAC 和 LNS 接 入 Internet， 路 由 可 达 。 


5.6.1 ”配置 任务 
在 由 拨号 用 户 ( 可 以 是 普通 的 ModenyISDN 拨号 , 也 可 以 是 PPPoE 拨号 ) 发 起 L2TP 
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隧道 连接 情形 下 ， 除 了 需要 先 配置 好 各 种 拨号 连接 之 外 ，L2TP VPN 的 通信 配置 还 包括 
以 下 三 大 部 分 (在 LAC 和 LNS 上 均 需 要 做 相应 配置 )。 

。 配置 AAA 认证 ， 需 要 在 LAC 和 LNS 上 同时 配置 。 

e。 (可 选 ) 配置 发 起 L2TP 隧道 连接 的 LAC。 在 Client-Initiated 模式 下 ， 无 需 配 置 
LAC， 但 需要 在 客户 端 主机 系统 中 安装 L2TP 拨号 软件 ， 可 以 是 操作 系统 自 带 的 ， 如 
Windows 系统 目 带 的 L2TP 拨号 功能 ， 也 可 以 使 用 华为 专门 的 VPN 客户 端 软件 一 一 Huawei 
VPN Client， 最 新 版 本 为 V100R001C02SPC703。 

。 配置 响应 L2TP 连接 的 LNS。 





如 果 是 由 分 支 机 构 侧 ISP 网 络 NAS 设备 担当 LAC, 则 先 要 在 NAS 设备 上 配置 好 
PPP 或 者 PPPoE 服务 器 〈 现 在 基本 上 不 再 使 用 慢 速 的 普通 拨号 方式 ， 而 是 采用 更 加 快速 
的 PPPOE 拨号 方式 )， 接 收 来 自分 支 机 构 终端 用 户 的 PPP 或 PPPOE 拨号 连接 〈 分 支 机 构 
终端 用 户 需要 安装 好 相应 的 拨号 客户 端 软 件 和 Modem); 如 果 是 由 分 支 机 构 网 络 网 关 设 
备 担 当 LAC， 则 先 要 在 网 关 设 备 配置 好 PPPoE 服务 器 ， 接 收 来 自分 支 机 构 网 络 内 部 终 
端 用 户 的 PPPOE 拨号 连接 (分支 机 构 终 端 用 户 也 需要 安装 好 相应 的 PPPOE 拨号 客户 端 
软件 和 Modem ) 。 


LAC 所 涉及 的 的 配置 任务 如 表 5-2 所 示 ，LNS 所 涉及 的 配置 任务 如 表 5-3 所 示 。 


表 5-2 LAC 配置 任务 
配置 任务 说 明 


er 在 LAC 设备 地 保存 用 户 名 、 密码 和 服务 类 型 ， 认证 接 
人 LAC 
(二 选 一 ) 配置 RADIUS 服务 器 参数 ， 在 远程 RADIUS 服务 器 上 保 
存 用 户 名 、 密 码 和 用 户 类 型 ， 认 证 接 入 的 用 户 信 息 
全 局 使 能 L2TP， 这 是 前 提 


。 在 虚拟 接口 模板 (VT 接 口 ) 上 配置 PPP 认证 方式 为 PAP 
0h pH | 或 者 CHAP， 认 证 接 入 用 户 
延 枉 A iy i 
配置 LAC 发 起 | PPPoE 拨号 方式 连接 | ”中 半 vVT | i , 
1L2TP 连接 LAC 时 需要 配置 ) 。 配置 用 户 侧 物 理 接口 作为 PPPoE 服务 器 ， 同 时 作为 向 


LNS 发 起 L2TP 拨号 的 起 始 端口 


配置 L2TP 参数 , 包括 隧道 名 称 、 隧 道 密码 、LNS 公 网 IP 
配置 L2TP 组 地 址 、VPDN 用 户 ISP 域名 或 完整 用 户 名 。 还 可 以 配置 
AVP 参数 加 密 、 主 备 LNS、Hello 报 文 时 间 


因为 在 PPPOE 拨号 中 都 是 使 用 以 太 网 链 路 进行 数据 传输 的 ， 而 以 太 网 接口 又 不 _ 

能 运行 PPP 协议 《但 Serial 楼 口 可 以 )， 不 能 对 所 接收 到 的 PPP 报 文 进行 处 理 ， 所 以 需 
要 创建 一 个 虚拟 以 太 网 接口 -VT 接口 。VT 接口 担当 PPPoE 服务 器 角色 (实际 上 VT 
接口 还 要 与 接收 PPP 报 文 的 物理 以 太 网 接口 进行 绑 定 才能 起 作用 ) ， 对 接 入 用 户 进行 认 
证 ， 还 可 为 接 入 用 户 分 配 卫 地 址 。 
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-“ 表 5-3 LNS 配置 任务 
i 
在 本 地 保存 用 户 名 、 密 码 和 类 型 ， 认 证 接 入 的 用 户 信 息 。 如 果 配 
配置 本 地 认证 | 置 了 LCP 重 协 商 或 者 CHAP 强制 认证 功能 ， 也 用 于 对 远程 用 户 
进行 二 次 认证 

AAA 认证 一 

配置 RADIUS 服务 器 参数 ， 在 远程 RADIUS 服务 器 上 保存 用 户 





Ce 点 雪 远程 认证 | 名、 密码 和 用 户 类 型 ， 认 证 接 入 的 用 户 信息 。 如 果 配 置 了 LCP 
重 协商 或 者 CHAP 强制 认证 功能 ， 也 用 于 对 远程 用 户 进行 二 次 
认证 

全 局 使 能 L2TP， 这 是 前 提 
、 | (可 选 ) 认证 通过 后 ， 为 远程 用 户 动态 分 配 IP 地 址 。 如 果 为 远程 
配置 让 地 址 池 | 用 户 配置 静态 IP 地 址 ， 则 无 需 此 步骤 
e 在 虚拟 接口 模板 (VT 接口 ) 上 配置 PPP 认证 方式 为 PAP 或 者 
CHAP， 认 证 接 入 用 户 ， 和 LAC 保持 一 致 
配置 LNS 啊 应 @ IP 为 L2TP 隧道 的 私 网 网 关 IP 
pe gd i 地 址 ， 作 为 隧道 的 私 网 网 关 IP 地 址 


e 如 果 要 为 远程 用 户 动态 分 配 IP 地 址 ， 则 还 要 引入 前 面 配 置 的 
IP 地 址 池 

。 如 果 配 置 CHAP 强制 认证 功能 , 则 PPP 认证 方式 必须 为 CHAP 
配置 L2TP 参数 ， 包 括 隧 道 名 称 、 隧 道 密 码 、 绑 定 VT 接口 编 
配置 L2TP 组 | 号 和 LAC 的 隧道 名 称 。 还 可 以 配置 AVP 参数 加 密 、Hello 报 文 
时 间 





在 LNS 端 , 因为 来 自 LAC 的 L2TP 报 文 是 经 过 重 封装 后 以 普通 IP 报 文 在 网 络 中 
传输 的 , 但 到 了 LNS 端 后 ， 需 要 对 封装 有 L2TP 报头 和 PPP 报头 的 IP 报 文 进行 解 封装 ， 
以 识别 L2TP 和 PPP 报头 信息 ， 所 以 需要 接口 运行 PPP 和 L2TP 协议 ， 而 物理 以 太 网 接 
口 是 不 能 运行 PPP 协议 的 ， 所 以 只 能 创建 一 个 虚拟 的 VT 接口。 当然， 如果 LNS 公 网 侧 
的 接口 是 Serial 接口 ， 则 可 直接 配置 了 ， 不 用 再 创建 VT 接口 。 


5.6.2 ”配置 AAA 认证 


在 “LAC 接 入 呼叫 发 起 L2TP 隧道 连接 ”应 用 中 , 除了 是 远程 拨号 用 户 发 起 的 L2TP 
之 外 ， 其 他 情形 的 LAC 和 LNS 都 需要 对 接 入 用 户 进行 认证 。AAA 提供 了 认证 、 授 权 和 
计 费 三 种 安全 功能 ， 用 于 管理 接 入 用 户 ， 保 证 安全 的 连接 请 求 。LAC 和 LNS 通过 配置 
AAA 的 本 地 认证 或 者 远程 认证 功能 ， 对 接 入 的 远程 用 户 进行 身份 验证 。 远 程 AAA 认证 
需要 配置 RADIUS 服务 器 。 

LAC 可 通过 检查 远程 用 户 的 用 户 名 或 者 ISP 域名 , 判断 是 否 要 为 该 远程 用 户 建 立 到 
达 LNS 的 L2TP 隧道 ， 主 要 依据 是 用 户 所 配置 支持 的 PPP 服务 类 型 。 

(1) 用 户 名 : 适用 于 接 入 用 户 少 ， 对 用 户 单独 管理 ， 每 个 接 入 用 户 都 会 独占 一 条 L2TP 
隧道 。 
如 果 根 据 用 户 名 检查 远程 用 户 , 则 设备 可 使 用 缺 省 的 default 域 和 default 认证 方案 ， 
其 中 default 认证 方案 使 用 缺 省 的 local 认证 方式 ， 即 本 地 认证 。 

(2) ISP 域名 : 适用 于 接 入 多 个 用 户 ， 对 同一 类 用 户 集中 管理 ， 具 有 相同 ISP 域名 
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的 用 户 共用 一 条 L2TP 隧道 ， 从 网 络 开 销 方面 来 讲 更 加 经 济 。 

如 果 根 据 ISP 域名 检查 远程 用 户 ， 则 需要 配置 ISP 域 及 域 所 使 用 的 认证 方案 。 对 于 
不 同 分 支 机 构 采 用 不 同 的 ISP 域 。VRP 系统 也 存在 两 个 缺 省 的 ISP 域 default〈 用 于 普通 
用 户 ) 和 default admin〈 用 于 管理 员 )， 如 果 没 有 进入 到 有 具体 的 ISP 域 下 配置 ， 则 是 直接 
采用 这 两 个 缺 省 的 ISP 域 。 

本 地 AAA 认证 方案 的 具体 配置 步骤 如 表 $-4 所 示 ， 使 用 设备 本 地 配置 的 用 户 账 户 
言 县 对 接 入 用 户 进行 认证 ; 远程 AAA 认证 方案 的 具体 配置 步骤 如 表 5-5 所 示 , 使 用 远程 
RADIUS 服务 左上 配置 的 用 户 账 户 信 息 对 接 入 用 户 进 行 认 证 。AAA 认证 方案 须 在 LAC 
和 LNS 上 同时 配置 ， 并 保持 一 致 ， 此 时 拨号 用 户 需要 经 过 LAC 和 LNS 的 双重 认证 审核 。 


表 5-4 本 地 AAA 认证 方案 的 配置 步骤 






| 
| 了 进入 系统 视图 


例如 : <Huawei>system-view 


aaa 
进入 AAA 视图 
例如 : [Huawei] aaaa 进入 视图 


(可 选 ) 创建 认证 方案 ， 并 进入 认证 方案 视图 。 人 参数 
authentication-scheme-name 用 来 指定 认证 方案 名 称 ， 

字符 串 形 式 ， 不 文 持 空 格 ， 长 度 范围 是 1 一 32， 区 分 
大 小 写 ， 且 不 能 包含 以 下 字符 : AN fe 多 1 ss 


《613 6 39 CE 999 “0 ?9 人 *» 《O99 
vl % 


authentication-scheme 





authentication-scheme- 【说 明 】〗 设 备 缺 省 存在 名 为 “default” 的 认证 方案 ， 
name 其 认证 方式 为 本 地 认证 。 用 户 可 以 修改 “default” 认 
例如 : [Huawei-aaal 证 方案 , 但 是 不 能 删除 。“default” 认 证 方案 的 策略 为 : 
authentication-scheme 认证 模式 采用 本 地 认证 ; 认证 失败 则 强制 用 户 下 线 。 
scheme0 配置 包括 “default” 认 证 方案 在 内 ，AR G3 路 由 器 最 多 支 
认证 | 持 32 个 认证 方案 。 如 果 直 接 采 用 缺 省 的 “default" 认 
方案 | 证 方案 ， 则 不 用 执行 此 步骤 。 
可 用 undo authentication-scheme scpeme-zazme 命令 删 
除 认 证 方案 
authentication-mode local (可 选 ) 配置 认证 方式 为 local， 即 本 地 认证 。 缺 省 情 
4 例如 : [Huawei-aa-authen- 况 下 , 认证 方式 为 local, 即 本 地 认证 方式 , 可 用 undo 
scheme0] authentication- authentication-mode 命令 恢复 。 当 前 认证 方案 使 用 的 
mode local 认证 模式 为 缺 省 认证 模式 
quit 
> 例如 : [Huawei-aa-authen- 退回 到 AAA 视图 


scheme0| quit 


(可 选 ) 创建 用 户 域 ， 并 进入 ISP 域 视 图 。 参 数 
domain-name 用 来 指定 ISP 域名 ， 字 符 串 形式 ， 不 文 
丛 忆 下 字符 1 “-” “+*” 9” ne 

缺 省 情况 下 ， 设 备 上 存在 名 为 “default” 和 “default_ 
admin” 两 个 域 。 可 以 修改 这 两 个 域 下 的 配置 〈 但 是 
不 能 删除 这 两 个 域 )。 

e。 “default” 用 于 普通 接 入 用 户 的 域 ， 缺 省 情况 下 处 
于 激活 状态 ， 使 用 缺 省 的 认证 方案 和 计 费 方案 。 


domain domain-name 
0 例如 : [Huawei-aaa] 
domain dml 


荡 四 可 
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domain domain-name 


例如 : [Huawei-aaa] 
domain dm1 


authentication-scheme 
authentication-scheme-name 
例如 : [Huawei-aaa-domain- 
dml] authentication- 
Scheme Scheme0 


quit 
例如 : [Huawei-aaa- 
domain-dm1] quit 


local-user user-name 
password cipher password 
例如 : [Huawei-aaa] local- 
user winda password cipher 
123456 


local-user user-name service- 
type ppp 

例如 : [Huawei-aaa] local- 
User winda service-type ppp 
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。 “default admin” 用 于 管理 员 的 域 ， 缺 省 情况 下 处 


于 激活 状态 ， 使 用 缺 省 的 认证 方案 和 计 费 方案 。 

如 果 直 接 采 用 “default” 或 “default admin” 域 (如 
直接 根据 用 户 进行 认证 时 )， 则 不 用 执行 此 步骤 。 在 
一 台 设 备 最 多 可 以 配置 32 个 域 ， 包 括 default 域 和 
default_ admin 域 。 当 有 多 个 分 文 机 构 时 ， 必 须 以 ISP 
域名 进行 区 分 ， 故 必须 为 不 同 分 文 机 构 用 户 创 建 不 同 
的 ISP 域 。 

可 用 undo domain domain-name 命令 删除 指定 的 认 
证 域 


为 前 面 第 3 步 新 创建 的 ISP 域 指定 要 采用 的 认证 方案 ， 
也 可 以 是 缺 省 的 “default” 认 证 方案 。 命 令 参数 说 明 
参见 本 表 第 3 步 


退回 到 AAA 视图 


创建 并 配置 本 地 用 户 名 和 密码 , 作为 VPDN 用 户 信 息 
保存 在 设备 中 ， 用 于 验证 接 入 的 远程 用 户 。 

e user-name: 指定 要 创建 的 用 户 账户 名 , 字符 串 形 式 ， 
“user@domain”，domain 就 是 指定 前 面 创建 的 ISP 域 
名 ， 以 标识 该 用 户 所 属 的 ISP 域 。 查 询 与 修改 时 可 以 
使 用 通配符 “*” 例如 *@isp、user@*、*@*。 

e password: 指定 本 地 用 户 登 录 密 码 ， 字 符 串 形式 ， 
区 分 大 小 写 , 字符 串 中 不 能 包含 “? ”和 空格 。cipher 
表示 对 用 户口 令 采 用 可 逆 算 法 进行 了 加 密 。 密 码 可 以 
是 长 度 范围 6 一 128 位 的 明文 密码 ， 也 可 以 是 长 度 范 
围 32 一 200 位 的 密 文 密码 。 

【说 明 】 如 果 用 户 名 中 带 域名 分 隔 符 ， 如 @， 则 认为 @ 
前 面 的 部 分 是 用 户 名 ， 后 面部 分 是 ISP 域名 。 如 果 没 
有 @@， 则 整个 字符 串 为 用 户 名 ，ISP 域 为 缺 省 域 default 
或 default admin。 

如 果 是 创建 新 用 户 ， 建 议 在 创建 用 户 的 同时 设置 密 
码 ， 否 则 设备 会 自动 为 该 用 户 指 定 一 个 缺 省 的 密码 
adminOhuawel.com。 

缺 省 情况 下 ， 系 统 中 存在 一 个 名 称 为 “admin” 的 本 
地 用 户 ， 该 用 户 的 密码 为 “Admin@huawei”， 采用 不 
可 逆 算 法 加 密 ， 用 户 级 别 为 15 级 ， 服 务 类 型 为 http， 
可 用 undo local-user user-name 命令 删除 指定 的 用 户 
配置 本 地 用 户 类 型 ，L2TP 协议 基于 PPP 协商 ， 需 要 
指定 用 户 类 型 为 ppp。 

缺 省 情况 下 ， 本 地 用 户 可 以 使 用 所 有 的 接 入 类 型 ， 可 
用 undo local-user user-name service-type 命令 将 指定 


的 本 地 用 户 的 接 入 类 型 恢复 为 缺 省 配置 
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radius-server template 
template-name 


例如 : [Huawei] radius-server 
template templatel 


radius-server authentication 
ip-address port 


例如 : [Huawei-radius- 
templatel | radius-server 
authentication 10.163.155.13 
1812 


radius-server accounting 
ip-address port 

例如 : [Huawei-radius- 
templatel| radius-server 
authentication 10.163.155.13 
1813 


radius-server shared-key 
cipher key-string 

例如 : [Huawei-radius- 
templatel | radius-server shared- 
key cipher hello 


quit 
例如 : [Huawei-radius- 
templatel|] quit 





aaa 
例如 : [Huawei] aaaa 


远程 AAA 认证 方案 的 配置 步骤 


System-view 
] 入 系统 视 
例如 : <Huawei>system-view 进入 系 a 








创建 RADIUS 服务 器 模板 ， 并 进入 RADIUS 服 
务 器 模板 视图 ， 用 于 配置 RADIUS 服务 器 的 参 
数 ， 并 用 于 远程 接 入 用 户 所 属 ISP 域 调用 。 参数 
template-name 用 来 指定 RADIUS 服务 器 模板 的 
名 称 ， 字 符 串 形式 ， 长 度 范围 是 1 一 32。 不 支持 
空格 ， 区 分 大 小 写 。 

缺 省 情况 下 ， 设 备 上 存在 一 个 名 为 “default” 的 
RADIUS 服务 器 模板 ， 只 能 修改 ， 不 能 删除 ， 可 
用 undo radius-server template template-name 命 


令 删 除 一 个 指定 的 RADIUS 服务 器 模板 


配置 RADIUS 认证 服务 器 的 IP 地 址 和 端口 号 。 
。 ip-address: 指定 用 于 对 远程 用 户 进 行 喘 份 认 
证 的 RADIUS 服务 器 的 IPv4 地 址 (必须 保证 设 
备 与 RADIUS 服务 器 之 间 路 由 可 达 )。 

e port: 指定 RADIUS 认证 服务 右 的 端口 号 , 整 
数 形式 ， 取 值 范 围 是 1 一 65535， 缺 省 为 TCP 
1812。 

缺 省 情况 下 ， 未 配置 RADIUS 认证 服务 器 ， 可 
用 undo radius-server authentication ip-address 
[port ] 命 令 删 除 RADIUS 认证 服务 器 


(可 选 ) 配置 RADIUS 计 费 服务 器 ， 缺 省 的 计 费 
端口 为 TCP 1813。 仅 V200R006 及 以 后 版 本 VRP 
系统 文 持 。 

缺 省 情况 下 ， 未 配置 RADIUS 计 费 服务 器 ， 可 
用 undo radius-server accounting ip-address [ port ] 
命令 删除 RADIUS 计 费 服务 器 的 相关 配置 
(可 选 ) 配置 设备 和 RADIUS 服务 器 连接 时 的 共 
享 密 钥 。 

。 cipher: 表示 对 共享 密 钥 采 用 可 逆 算 法 进行 了 
加 密 。 

e key-string: 指定 共享 密 钥 ， 字 符 串 形式 ， 不 文 
持 空 格 、 单 引号 和 问号 ， 区 分 大 小 写 。 共 享 密 铀 
既 可 以 是 1 一 16 位 的 明文 密码 ， 也 可 以 是 32 位 
的 密 文 密码 。 

缺 省 情况 下 ，RADIUS 共享 密 钥 是 huawei， 采 
用 密 文 形式 显示 , 可 用 undo radius-server shared- 
key 命令 恢复 RADIUS 服务 器 的 共享 密 钥 为 缺 
省 值 ‘huawei) 


退回 到 系统 视图 


进入 AAA 视图 
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14 






authentication-scheme 
authentication-scheme-name 


例如 : [Huawei-aaa] 
authentication-scheme scheme0 


authentication-mode radius 


例如 : [Huawei-aa-authen- 
scheme0] authentication-mode 
radius 


accounting-scheme 
accounting-scheme-name 


例如 : [Huawei-aaa] 
accounting-scheme account1 


accounting-mode radius 
例如 : [Huawei-aaa] accounting- 
mode radius 


accounting start-fail { online | 
offline } 


例如 : [Huawei-aaa] accounting 
start-fail online 


accounting realtime interval 
例如 : [Huawei-aaa] accounting 
realtime 10 ee 


accounting interim-fail [ max- 
times times | { online | offline } 
例如 : [Huawei-aaa] accounting 
interim-fail $ offline 
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( 续 表 ) z 
说 明 0 


创建 认证 方案 , 并 进入 认证 方案 视图 。 必须 创建 ， 


以 指定 采用 RADIUS 认证 方案 。 参 见 表 5-4 的 第 
3 步 


配置 以 上 认证 方案 的 认证 方式 为 radius， 即 
RADIUS 服务 器 认证 方案 。 

缺 省 情况 下 ， 认 证 方式 为 local， 即 本 地 认证 方 
式 ， 可 用 undo authentication-mode 命令 恢复 当 
前 认证 方案 使 用 的 认证 模式 为 缺 省 认证 模式 
创建 计 费 方案 ,并 进入 计 费 方案 视图 。 参 数 用 来 
指定 新 创建 的 计 费 方案 名 称 , 字符 串 形 式 ， 区 分 
大 小 写 ， 长 度 范 围 是 1 一 32， 不 支持 空格 ， 不 能 
配置 为 “-” 或 “--”， 且 不 能 包含 字符 “/”“\” 
人 4 杂 米 2 人 4611 3 Se ds 7 “@” 《1239 OA 
仅 V200R006 及 以 后 版 本 VRP 系统 支持 。 
缺 省 情况 下 , 设备 中 有 一 个 计 费 方案 , 计 费 方案 
配置 名 是 default, default 方案 不 能 删除 , 只 能 修 
改 其 中 的 参数 ， 可 用 undo accounting-scheme 
accounting-scheme-name 命令 删除 一 个 指定 的 计 


费 方案 


配置 计 费 模式 为 RADIUS 计 费 ， 仅 V200R006 
及 以 后 版 本 VRP 系统 支持 。 

缺 省 情况 下 ， 计 费 模式 采用 不 计 费 模式 none， 
可 用 undo accounting-mode 命令 恢复 当前 计 费 
方案 使 用 的 计 费 模式 为 缺 省 配置 


(可 选 ) 配置 开始 计 费 失败 策略 ， 仅 V200R006 
及 以 后 版 本 VRP 系统 支持 。 命 令 中 的 选项 说 明 
i 

。 offline: 二 选 一 选项 ， 指 定 开始 计 费 失败 策略 
为 : 如 果 开 始 计 费 失败 ， 拒 绝 用 户 上 线 。 

。 online: 二 选 一 选项 ， 指 定 开始 计 费 失败 策略 
为 : 如 果 开 始 计 费 失败 ， 人 允许 用 户 上 线 。 
缺 省 情况 下 ,如 果 初 始 计 费 失 败 , 不 允许 用 户 上 
线 ， 可 用 undo accounting start-fail 命令 用 来 恢 
复 开 始 计 费 失败 策略 为 缺 省 配置 


(可 选 ) 使 能 实时 计 费 并 设置 计 费 间隔 ， 整 数 形 
式 ， 取 值 范围 是 0~65535, 单位 是 分 钟 。 0 表示 
不 使 能 实时 计 费 . 仅 V200R006 及 以 后 版 本 VRP 
系统 支持 。 

缺 省 值 是 0， 可 用 undo accounting realtime 命 
令 用 来 去 使 能 实时 计 费 功能 


(可 选 ) 配置 允许 的 实时 计 费 请 求 最 大 无 响应 次 
数 ， 以 及 实时 计 费 失败 后 采取 的 策略 ， 仅 
V200R006 及 以 后 版 本 VRP 系统 支持 。 命 令 中 
的 参数 和 选项 说 明 如 下 。 


14 


1] > 


16 


Ly 


18 
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accounting interim-fail [ max- 
times times | { online | offline } 


例如 : [Huawei-aaa] accounting | 配置 认 


interim-fail s offline 


quit 
例如 : [Huawei-aa-authen- 
scheme0] quit 


domain domain-name 
例如 : [Huawei-aaa] domain dml 


authentication-scheme 
authentication-scheme-name 


例如 : [Huawei-aaa-domain- 
dml| authentication-scheme 
Scheme0 


radius-server template-name 
例如 : [Huawei-aaa-domain- 
dml] | radius-server templatel 


accounting-scheme 
accounting-scheme-name 
例如 : [Huawei-aaa-domain- 
dml] accounting-scheme 
accountl 





( 续 表 ) 


e max-times times: 指 定 允 许 实 时 计 re 请 者 求 最 大 
无 响应 次 数 。 当 实时 计 费 请 求 最 大 无 啊 应 次 数 达 
到 此 最 大 值 时 , 如 果 下 一 次 计 费 请 求 仍然 没有 啊 
应 , 设备 认为 计 费 失败 ,对 付费 用 户 采 用 实时 计 
费 失 败 策 略 ， 整 数 形 式 ， 取 值 范 围 是 1 一 2$5。 

缺 省 值 是 3。 

e online: 二 选 一 选项 ， 指 定 实 时 计 费 失败 后 采 
取 的 策略 为 online， 即 如 果实 时 计 费 失败 ， 人 允许 
用 户 在 线 。 

。 offline: 二 选 一 选项 ， 指 定 实 时 计 费 失败 后 采 
取 的 策略 为 offline， 即 如 果实 时 计 费 失败 ,使 用 
户 下 线 。 

缺 省 情况 下 ，, 允许 的 实时 计 费 请 求 最 大 无 响应 次 
数 为 3 次 , 实时 计 费 失败 后 允许 用 户 在 线 , 可 用 
undo accounting interim-fail 命令 恢复 缺 省 配置 


退回 到 AAA 视图 


创建 并 进入 指定 的 ISP 域 视图 ， 可 以 是 缺 省 的 
default 或 default admin ISP 域 。 参见 表 5-4 中 的 
第 6 步 


为 以 上 ISP 域 指定 所 采用 的 RADIUS 认证 方案 
(调用 第 7 步 创 建 的 认证 方案 )。 必 须 配 置 ， 以 指 
定 在 特定 的 ISP 域 中 采用 RADIUS 认证 方案 。 
参数 说 明 参 见 表 5-4 中 的 第 3 步 。 

缺 省 情况 下 ,“default” 域 使 用 名 为 “radius” 的 
认证 方案 “default admin” 域 使 用 名 为 “default” 
的 认证 方案 ， 其 他 域 使 用 名 为 “radius” 的 认证 
方案 ， 可 用 undo authentication-scheme 命令 将 
域 的 认证 方案 恢复 为 缺 省 配置 


为 以 上 ISP 域 指定 所 使 用 的 RADIUS 服务 器 模 
板 。 该 模板 为 前 面 第 2 步 创 建 的 RADIUS 服务 
器 模板 。 

缺 省 情况 下 , 用 户 创建 域 下 绑 定 了 名 为 “default” 
的 RADIUS 服务 器 模板 ， 默认 “default” 域 下 比 
定 了 名 为 “default” 的 RADIUS 服务 器 模板 ， 默 
认 “default admin ” 域 下 没有 绑 定 RADIUS 服务 
器 模板 ， 可 用 undo radius-server 命令 删除 域 的 
RADIUS 服务 器 模板 


(可 选 ) 为 以 上 ISP 域 指定 所 使 用 的 计 费 方案 。 
该 方案 为 前 徊 在 第 10 步 中 配置 的 计 费 方案 。 仅 
V200R006 及 以 后 版 本 VRP 系统 支持 。 
缺 省 情况 下 , 域 使 用 名 为 “default” 的 计 费 方案 。 
“default” 计 费 方案 的 策略 为 : 计 费 模式 为 不 计 
费 ， 关 闭 实时 计 费 开关 
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( 续 表 》 
(可 选 ) 如 果 使 用 流量 计 费 , 需要 在 域 下 开启 流量 统 

配置 计 功 能 。 仅 V200R006 及 以 后 版 本 VRP 系统 支持 。 

ISP 志 | 缺 省 情况 下 ， 域 的 流量 统计 功能 处 于 未 使 能 关 
态 ， 可 用 undo statistic enable 命令 去 使 能 域 用 
户 的 流量 统计 功能 










statistic enable 


20 例如 : [Huawei-aaa-domain- 


dml| statistic enable 


5.6.3 配置 LAC 


LAC 在 用 户 侧 〈 可 以 位 于 分 支 机 构 侧 ISP 网 络 中 ， 也 可 位 于 分 支 机 构 网 络 内 ) 接 入 
用 户 的 呼叫 请 求 ， 和 用 户 进行 PPP 协商 ;同时 配置 L2TP 参数 ， 根 据 接 入 用 户 的 名 称 或 
者 ISP 域 ， 发 起 到 LNS 的 L2TP 连接 。 有 具体 配置 步骤 如 表 5-6 所 示 。 


es 






“配置 注意 事项 如 下 。 
@ 远程 拨号 用 户 上 配置 的 认证 方式 应 和 LAC 用 户 侧 虚 拟 接 口 模板 上 的 认证 配置 保持 一 致 。 
e LAC 上 连接 用 户 侧 的 接口 需要 配置 IP 地 址 ， 但 无 特定 要 求 ， 主 要 目的 就 是 使 接 
口 的 IP 协议 生效 ， 成 为 三 层 接口 。 
e。 L2TP 缺 省 情况 下 使 能 隧道 认证 功能 ， 但 没有 配置 认证 的 共享 密 钥 。 如 果 使 用 隧 
道 认证 功能 ， 则 配置 认证 共享 密 钥 ， 且 LAC 和 LNS 保持 一 致 ; 如 果 不 使 用 隧道 认证 功 
能 ， 则 LAC 和 LNS 都 需要 去 使 能 隧道 认证 功能 。 





表 5-6 LAC 配置 步 双 
system-view i 
例如 : <Huawei>system-view 进入 系统 视图 
12tp enable 全 局 使 能 L2TP 功能 。 只 有 使 用 本 命令 , L2TP 功能 才能 使 用 。 
2 如 果 禁 止 L2TP， 则 即使 完成 了 L2TP 的 配置 ， 设 备 也 不 会 提 
例如 : [Huawei] 12tp enable 


供 L2TP 功能 


创建 VT 虚拟 接口 模板 ， 并 进入 虚拟 模板 视图 。 
参数 vt-number 用 来 指定 虚拟 接口 模板 的 编号 ， 
整数 形式 ， 取 值 范 围 是 0 一 1023。 
【说 明 】〗PPP、ATM、 以 太 网 等 二 层 协议 之 间 不 能 
(可 选 ) 配 | 直接 互相 承载 ， 需 要 通过 虚拟 访问 接口 VA 
置 用 户 侧 | (Virtual-Access ) 进行 通信 。 当 二 层 协 议 之 间 需 
interface virtual- template | 接口 ( 仅 | 要 通信 时 ，VA 接口 由 系统 自动 创建 ， 用 户 不 能 
vi-number 当 远 程 接 | 创建 和 配置 VA 接口 ， 只 能 通过 配置 虚拟 接口 模 
例如 : [Huawei] interface 入 用 户 采 | 板 VT(Virtual-Template ) 的 属性 来 配置 VA 接口 。 
virtual-template 10 用 PPPoE | VT 只 是 系统 配置 VA 时 使 用 的 模板 。 
拨号 时 需 | 作为 远程 用 户 的 PPPoE 服务 接口 , 还 需要 通过 以 
要 配置 ) | 下 步骤 定义 PPP 协商 的 参数 。 但 一 个 VT 接口 不 
能 同时 被 PPPoE 业务 和 L2TP 业务 使 用 。 
可 用 undo interface virtual-template vt-number 
命令 删除 指定 虚拟 接口 模板 ， 删 除 VT 后 ， 所 有 
由 其 生成 的 VA 接口 都 会 被 自动 删除 
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ppp authentication-mode 
{ pap | chap } 

例如 : [Huawei-Virtual- 
Template10] ppp 
authentication-mode chap 


mtu size 
例如 : [Huawei-Virtual- 
Template10] mtu 1200 


quit 
例如 : [Huawei-Virtual- 
Template10] quit 


interface interface-type 
interface-number 

例如 : [Huawei] interface 
gigabitethernet 1/0/1 


(可 选 ) 配 
置 用 户 侧 
接口 ( 仅 


当 远 程 接 
入 用 户 采 
用 PPPoE 
拨号 时 需 
要 配置 ) 
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配置 以 上 VT 虚拟 接口 模板 的 PPP 认证 方式 为 
pap 或 者 chap， 对 远程 用 户 进行 认证 。 执行 本 命 
令 前 ， 请 确保 接口 封装 的 链 路 层 协 议 为 PPP， 但 
VT 接口 缺 省 运行 的 就 是 PPP 协议 ， 所 以 无 需 另 
外 配置 。 

。 PAP 为 两 次 握手 认证 ， 口 令 为 明文 。 当 实际 应 
用 过 程 中 ， 对 安全 性 要 求 不 高 时 ， 可 以 采用 PAP 
认证 建立 PPP 连接 。 

e CHAP 为 三 次 握手 认证 ， 口 令 为 密 文 。 当 实际 
应 用 过 程 中 ， 对 安全 性 要 求 较 高 时 ， 可 以 采用 
CHAP 认证 建立 PPP 连接 。 实 际 配 置 时 ， 一 般 都 
采用 CHAP 认证 。 

LAC 和 LNS 的 认证 方式 应 保持 一 致 。 
缺 省 情况 下 ， 本 端 设 备 对 对 端 设 备 不 进行 认证 ， 
可 用 undo ppp authentication-mode 命令 恢复 缺 
省 情况 


配置 接口 的 最 大 传输 单元 值 ， 整 数 形式 ， 取 值 范 
围 为 128 一 1$S00， 单 位 为 字 节 。 

当 与 友 商 设备 对 接 时 ， 为 了 避免 出 现 数据 报 文 在 
其 物理 出 接口 进行 分 片 后 友 商 设备 无 法 重组 等 
对 接 失 败 问 题 ， 建 议 在 VT 虚拟 接口 配置 MTU 
值 ， 取 值 必须 不 大 于 L2TP 报 文 的 物理 出 接口 
MTU 值 (默认 1500 字 节 ) 减 去 L2TP 报 文 封装 
头 长 度 〈 携 带 序列 号 信息 时 为 42 字 节 ， 否 则 为 
38 字 市 )。 例 如 ， 默 认 情 况 下 L2TP 报 文 的 物理 
出 接口 MTU 值 为 1500，L2TP 报 文 封装 头 长 度 
为 42， 则 该 步骤 中 参数 size 取 值 必须 不 大 于 
1458。 

为 了 避免 出 现 数据 报 文 在 VT 接口 进行 分 片 后 ， 
在 其 物理 出 接口 再 次 进行 分 片 ， 影 响 设备 性 能 ， 
建议 在 VT 虚拟 接口 配置 MTU 值 时 ， 取 值 范围 
为 1400 一 1450。 

【注意 】 配 置 本 命令 后 ， 需 要 重启 此 接口 配置 才 
会 生效 


返回 到 系统 视图 


(可 选 ) 进入 LAC 设备 连接 远程 用 户 侧 的 物理 接 
口 视 图 。 

【注意 】 需 要 先 为 该 物理 接口 配置 IP 地 址 (根据 
LAC 所 处 的 位 置 不 同 ， 可 以 是 公 网 了 P 地址， 也 
可 以 是 私 网 IP 地 址 )， 以 使 该 接口 上 的 IP 地 址 
生效 
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(可 选 ) 配置 以 口 作 为 PPPoE 服务 器 ， 
绑 定 前 面 创建 的 VT 虚拟 接口 模板 ， 以 使 在 以 太 
网 接口 上 启用 PPPoE 协议 。 

【说 明 】 一 个 物理 接口 上 只 能 绑 定 一 个 虚拟 接口 





pppoe-server bind virtual- 
template vi-number 


















(可 选 ) 配 
置 用 户 侧 







例如 : [Huawei-Gigabit 接口 ( 仅 | 模板 。 配 置 完 本 命令 就 为 VT 接口 指定 了 一 个 物 
Ethernet1/0/1] pppoe-server | 当 远 程 接 | 理 通道 。 对 于 VT 接口 ， 如 果 配 置 静态 路 由 ， 请 


bind virtual-template 10 指定 下 一 跳 而 不 要 指定 出 接口 。 如 果 必 须 指定 出 
接口 的 话 ， 请 保证 VT 下 绑 定 的 物理 接口 有 效 ， 


从 而 保证 报 文 能 够 正常 传输 


入 用 户 采 
用 PPPoE 
拨号 时 需 
要 配置 ) 





quit 
例如 : [Huawei-Gigabit 
Ethernet1/0/1] quit 


返回 到 系统 视图 


创建 L2TP 组 , 并 进入 L2TP 组 视图 。 参数 group- 
number 用 来 指定 L2TP 组 的 编号 ， 整 数 形式 。 

e。 AR150&160&200 系列 取 值 范围 是 1 一 16。 
e。AR1200 系列 、AR2201-48FE、AR2202-48FE、 
AR2204 取 值 范围 是 1 一 128。 

e。 AR2220、AR2220L、AR2240 取 值 范围 是 1 一 
sh 

。AR3200 系列 取 值 范围 是 1 一 1024。 

在 L2TP 组 下 可 配置 用 于 L2TP 连接 的 参数 ， 根 
据 接 入 的 远程 用 户 ， 向 LNS 发 起 L2TP 连接 。 
缺 省 情况 下 , 没有 创建 L2TP 组 , 可 用 undo 12tp- 
group group-number 命令 删除 指定 的 L2TP 组 


配置 L2TP 隧道 的 共享 密 钥 , 需要 和 LNS 端的 配 
置 保持 一 致 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
esimple: 二 选 一 选项 ， 指 定 以 明文 形式 显示 隧 


12tp-group eroup-number 
例如 : [Huawei] 12tp- 
group 2 


道 认 证 的 共享 密 钥 。 
所 | 。cipher， 二 选 一 选项 ， 指 定 以 密 文 形式 显示 隧 
道 认 证 的 共享 密 钥 。 


e。 password: 指定 隧道 认证 的 共享 密 钥 ， 字 符 串 
形式 ， 区 分 大 小 写 ， 不 能 输入 空格 和 问号 等 命令 
行 专 用 字符 : 如 果 共 享 密 钥 形 式 是 simple， 则 
password 是 明文 密码 ， 长 度 为 1 一 16; 如 果 共 享 
密 钥 形式 是 cipher， 则 password 既 可 以 是 明文 形 
式 ， 也 可 以 是 密 文 形式 ， 视 输入 而 定 ， 明 文 密码 
是 长 度 为 1 一 16 的 字符 串 ， 例如: 1234567， 密 
文 密码 长 度 只 能 是 24， 并 且 是 密 文 形式 ， 例 如 : 
_(TT8F]Y\SSQ=^Q MAF4<1!!。 

缺 省 情况 下 ，L2TP 使 能 了 隧道 认证 功能 ， 未 
配置 隧道 认证 的 共享 密 铀 ， 可 用 undo tunnel 
password 命令 取消 已 配置 的 隧道 认证 的 共享 密 
钥 。 建 议 使 用 隧道 认证 功能 ， 如 果 不 使 用 隧道 认 
证 功能 ， 则 需 在 要 LAC 和 LNS 两 端 都 执行 undo 


tunnel authentication 命令 


tunnel password { simple | 
cipher } password 

例如 : [Huawei-l2tp2] tunnel 
password simple huawel 
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tunnel name tunnel-name 


例如 : [Huawei-l12tp2] tunnel 
name lycb 


start 12tp ip ip-address &<1- 
4> { domain domain-name | 
fullusername user-name | 
interface interface-type 
interface-number | vpn- 
instance vpn-instance-name 
fullusername user-name } 


例如 : [Huawei-l2tp2] start 
1]2tp ip 202.38.168.1 domain 
lycb.com 





配置 
L2TP 组 
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( 续 表 ) 


配置 隧道 名 称 ， 用 于 发 起 L2TP 连接 时 ，LNS 根 
据 LAC 的 隧道 名 称 接 入 。 参 数 tunnel-name 用 来 
指定 隧道 本 端的 名 称 , 字符 串 形式 , 区 分 大 小 与 ， 
长 度 范 围 是 1 一 30。 

缺 省 情况 下 ， 如 果 未 指定 隧道 名 称 ， 则 设备 名 称 
作为 隧道 名 称 , 可 用 undo tunnel name 命令 恢复 
本 端 名 称 为 缺 省 值 。 

【说 明 】〗 创 建 一 个 L2TP 组 时 ， 本 端 隧道 名 称 将 被 
初始 化 成 设备 的 主机 名 。 如 果 要 使 用 其 他 名 称 作为 
本 端 隧道 名 称 ， 可 以 使 用 本 命令 。 一 台 设 备 可 以 创 
建 多 个 L2TP 组 ， 建 立 多 条 L2TP 隧道 ， 用 户 可 以 
为 每 条 隧道 配置 不 同名 称 进行 区 分 。 在 LNS 侧 ， 
需要 根据 LAC 侧 的 隧道 名 称 指 定 允 许 接 入 的 隧道 
连接 请 求 ， 所 以 建议 在 LAC 侧 配 置 隧道 名 称 

(二 选 一 ) 配置 对 端 LNS 的 IP 地 址 、 域 名、 用 户 
全 名 ， 作 为 发 送 控制 消息 的 目的 IP 地 址 ， 最 多 
可 配置 4 个 耳 地 址 ， 役 此 形成 备份 LNS， 先 配 
置 的 卫 地 址 优先 级 高 ， 按 配置 顺序 逐渐 降低 。 
并 指定 以 下 两 种 触发 L2TP 连接 请 求 的 依据 。 

e domain domain-name: 多 选 一 参数 ， 指 定 按 用 
户 的 ISP 域名 (需要 先 创建 〉 来 触发 L2TP 连接 请 
求 ,字符 串 形式 ， 区 分 大 小 写 ， 取 值 范围 是 1 一 20。 
。 vpn-instance vpn-instance-name: 多 选 一 参数 ， 
指定 L2TP 连接 使 用 的 卫 地 址 所 属 VPN 实例 ， 
字符 串 形 式 ， 区 分 大 小 写 ， 取 值 范围 是 1 一 31。 
e fullusername user-name: 多 选 一 人 参数， 指定 按 
用 户 全 名 来 触发 L2TP 连接 请 求 。 字 符 串 形 式 ， 
区 分 大 小 写 ， 取 值 范 围 是 1 一 64。 

e interface interface-type interface-number: 多 选 
一 参数 ， 指 定 触发 L2TP 连接 请 求 的 接口 。 

【说 明 〗】 华 为 AR G3 路 由 器 主要 支持 如 下 两 种 情 
况 触 发 L2TP 连接 请 求 。 

。 根据 用 户 的 ISP 域名 称 发 起 建立 L2TP 的 连接 请 
求 。 例 如 ， 用 户 所 在 公司 的 域名 为 huawei.com， 则 可 
以 指定 包含 huawei.com 域名 的 用 户 为 VPDN 用 户 。 

。 根据 用 户 全 名 发 起 建立 L2TP 的 连接 请 求 。 例 
如 ， 用 户 全 名 为 user@huawei.com， 指 定 此 用 户 
名 为 VYPDN 用 户 , 则 只 有 此 用 户 的 呼叫 可 以 触发 
建立 L2TP 连接 。 

LAC 在 收 到 远程 用 户 发 起 的 呼叫 后 , 根据 上 面 所 述 
的 情况 判断 , 如 果 发 现 发 起 呼叫 的 用 户 是 VPDN 用 
户 , 则 LAC 按照 配置 的 LNS IP 地 址 的 先后 顺序 向 
LNS 发 送 建立 L2TP 隧道 的 连接 请 求 ， 当 得 到 LNS 
的 接收 应 答 后 ， 该 LNS 就 作为 L2TP 隧道 的 对 端 ， 
否则 LAC 向 下 一 个 LNS 发 起 隧道 连接 请 求 。 
缺 省 情况 下 ， 设 备 上 没有 配置 触发 条 件 ， 可 用 
undo start 命令 删除 指定 的 触发 条 件 
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pp i ( 续 表 )_ 


(二 选 一 ) 配置 对 端 LNS 的 域 格式 的 主机 名 
配置 (hostname ) 、 域 名 (domain ) 或 用 户 全 名 





start 12tp host hostname 































13 { domain domain-name | 会 镭 省 明 佐 风 剖 i l 
Pra sem res L2TP 组 Cfhllasemame) ， 参 数 说 明 参 见 前 面 的 start 12tp ip 
命令 介绍 
quit , 
14 系统 秽 良 
例如 : [Huawei-l2tp2] quit 返回 系统 视图 
interface interface-type 
nt -numb op 
ed 配置 LAC | 进入 LAC 设备 连接 ISP 网 络 侧 的 物理 接口 视图 
例如 : [Huawei] interface 公 网 侧 接 
gigabitethernet 2/0/1 口 的 公 网 
ip address ip-address IP 地 址 
{ mask | mask-length } 
16 | 例如 : [Huawei-Gigabit 配置 LAC 连接 ISP 侧 接 口 的 公 网 人 P 地 址 
Ethernet2/0/1] ip address 
202.1.2.1 255.,255.255.0 
17 配置 LAC 公 网 到 LNS 公 网 的 IP 路 由 


5.6.4 配置 LNS 


LNS 位 于 企业 总 部 网 络 边缘 ， 同 时 担当 企业 总 部 网 络 网 关 角 色 ， 需 要 配置 L2TP 参 
数 ， 使 其 根据 LAC 的 隧道 名 称 ， 响 应 LAC 发 起 的 L2TP 连接 请 求 。 具 体 配 置 步骤 如 
表 5-7 所 示 。 





配置 注意 事项 如 下 。 

e LNS 在 虚拟 接口 模板 上 配置 PPP 协商 参数 时 ， 认 证 方式 应 和 LAC 上 的 认证 配置 
保持 一 致 。 即 LNS 采取 远程 终端 上 配置 的 相同 认证 方式 对 接 入 用 户 进行 认证 ， 以 便 使 终 
端 用 户 能 认证 成 功 。 

e 如 果 L2TP 组 编号 不 为 1， 则 需要 指定 对 端 LAC 的 隧道 名 称 。 

e L2TP 缺 省 情况 下 使 能 隧道 认证 功能 ， 也 没有 配置 认证 的 共享 密 钥 。 如 果 使 用 隧 
道 认证 功能 , 则 配置 认证 共享 密 钥 , 且 和 LAC 的 配置 保持 一 致 ; 如 果 不 使 用 隧道 认证 功 
能 ， 则 LAC 和 LNS 都 需要 去 使 能 隧道 认证 功能 。 


表 5-7 LNS 配置 步骤 


步 又 2 说 明 
system-view We 
; 例如 : <Huawei>system-view 进入 系统 袖 图 
全 局 使 能 L2TP 功能 。 只 有 使 用 本 命令 , L2TP 功能 才能 使 用 。 
如 果 禁 止 L2TP， 则 即使 完成 了 L2TP 的 配置 ， 设 备 也 不 会 提 
供 L2TP 功能 


12tp enable 
例如 : [Huawei] 12tp enable 
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ip pool ip-pool-name 
例如 : [Huawei] ip pool pooll 


network ip-address [ mask 
{ mask | mask-length } | 
例如 : [Huawei-ip-pooll] 
network 192.168.1.0 mask 24 


gateway-list ip-address 
&<1-8> 

例如 : [Huawei-ip-pool1] 
gateway-list 192.168.1.1 





quit 
例如 : [Huawei-ip-pooll] quit 


配置 IP 
地 址 池 


( 续 表 ) 
We 2 


(可 选 ) 创建 一 个 全 局 IP 地 址 池 ， 并 进入 IP 地 址 
池 视 图 ， 用 于 为 远程 用 户 〈 当 采用 Client-Initiated 
模式 或 NAS-Initiated 模式 时 ) 或 LAC 上 的 VT 接 
口 〈 当 采用 LAC-Auto-Initiated 模式 时 ) 分 配 地 址 。 
参数 如 -poo1-zame 用 来 指定 地 址 池 名 称 ， 字符 串 形 
式 ， 不 文 持 空格 ， 长 度 范围 是 1 一 64， 可 以 设 定 为 
包含 数字 、 字 母 、 和 特殊 字符 (例如 “ ”“-” 或 
“.”) 的 组 合 ， 不 能 为 “-” 或 “--”。 

此 处 相当 于 创建 一 个 DHCP 服务 器 IP 地 址 池 。 如 
果 远 程 用 户 已 经 手工 配置 了 静态 卫 地 址 ， 则 无 需 
配置 地 址 池 ( 此 时 远程 用 户 网 卡 至 少 分 配 了 两 个 IP 
地 址 : 一 个 是 接 入 Internet 后 动态 分 配 的 公 网 IP 
地 址 , 男 一 个 就 是 静态 配置 的 位 于 企业 总 部 私 网 的 
私 网 IP 地 址 ) 。 如 果 需 要 给 用 户 分 配 DNS 服务 器 
地 址 ,建议 在 配置 AAA 步骤 中 增加 service-scheme 
service-scheme-name 命令 。 

缺 省 情况 下 ， 没 有 创建 全 局 地 址 池 ， 可 用 undo ip 
pool ip-pool-name 命令 删除 指定 的 全 局 地 址 池 


为 以 上 IP 地 址 池 配 置 IPv4 地 址 段 ， 作 为 远程 用 户 
或 LAC 上 的 VT 接口 的 动态 IPv4 地 址 资源 〈 是 企 
业 总 部 网 络 的 私 网 IPv4 地 址 ) ， 网 段 内 的 IP 地 址 
会 从 大 到 小 依次 分 配 。 命 令 中 的 参数 说 明 如 下 。 

e ip-address: 指定 IPv4 地 址 池 的 网 络 地 址 段 ， 必 
须 是 网 络 地 址 。 

e。 mask: 二 选 一 参数 ， 指 定 网 段 IPv4 地 址 对 应 的 
子 网 掩 码 。 

e mask-length: 二 选 一 参数 ， 指 定 网 段 IPv4 地 址 
3.25 

【注意 】 当 用 户 没有 配置 mask 参数 时 ， 系 统 将 使 
用 自然 掩 码 , 参数 jp-address 的 IP 地 址 类 型 不 能 是 
A 类 地 址 ; 当 用 户 配置 mask 参数 ，mask-length 的 
长 度 不 能 小 于 16 

缺 省 情况 下 , 系统 未 配置 全 局 地 址 池 下 动态 分 配 的 
PP 地 址 范围 ， 可 用 undo network 命令 来 恢复 网 段 
地 址 为 缺 省 值 


为 以 上 IP 地址 池 配 置 网 关 IP 地 址 (最 多 配 8 个 网 
关 IP 地 址 ) ， 分 配给 远程 用 户 作为 其 网 关 地 址 。 
此 网 天 IP 地 址 就 是 远程 用 户 访问 企业 总 部 网 络 的 
网 关 地 址 ， 即 下 面 创建 的 VT 接口 IPv4 地 址 。 
缺 省 情况 下 ， 未 配置 出 口 网 关 地 址 ， 可 用 undo 
gateway-list { ip-address | all } 命 令 删 除 已 配置 的 
所 有 或 指定 网 关 IP 地 址 


退回 到 系统 视图 
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interface virtual-template 
vt-number 

例如 : [Huaweijinterface 
virtual-template 1 













ppp keepalive in-traffic check 


例如 : [Huawei-Virtual- 
Template10] ppp keepalive 
in-traffic check 





ip address ip-address { mask | 
mask-lenegth : 

例如 : [Huawei-Virtual- 
Templatel | ip address 192. 
168.1.1 235,.255.235.0 










remote address { ip-address | 
pool pool-name } 

例如 : [Huawei-Virtual- 
Templatel |] remote address 
pool pooll 


配置 
PPP 协商 










ppp authentication-mode 
{ pap | chap } 

例如 : [Huawei-Virtual- 
Templatel | ppp 
authentication-mode chap 













mtu size 
例如 : [Huawei-Virtual- 
Templatel] mtu 1400 






quit 
例如 : [Huawei-Virtual- 
Templatel] quit 


12tp-group eroup-number 配置 
例如 : [Huawei] 1l2tp-group 2 | L2TP 组 


( 续 表 ) 


创建 VT 虚拟 接口 模板 ， 并 进入 虚拟 模板 视图 。 此 
虚拟 接口 是 作为 远程 用 户 访 问 企业 总 部 私 网 的 网 
关 接口 ， 接 入 远程 用 户 的 L2TP 连接 ， 可 定义 以 下 
几 个 步骤 中 所 叙 的 PPP 协商 参数 


(可 选 ) 使 能 虚拟 模板 接口 有 入 方 同 流量 时 ， 不 发 
送 心跳 报 文 的 功能 。 仅 V200R006 及 以 后 版 本 支持 。 
缺 省 情况 下 , 设备 作为 PPPoE Server 会 定时 发 送 心 
忠 报 文 ，undo ppp keepalive in-traffic check 命令 
去 使 能 虚拟 模板 接口 有 入 方 同 流 量 时 , 不 发 送 心 跳 
报 文 的 功能 


配置 VT 接口 的 私 网 IPv4 地 址 , 作为 远程 用 户 访问 
总 部 网 络 的 网 关 IPv4 地 址 。 它 要 与 分 配给 LTP 客 
户 端 〈 远 程 用 户 或 LAC 上 的 VT 接口 ) 的 IP 地 址 
在 同一 IP 网 段 


(可 选 ) 指定 用 于 为 远程 用 户 静态 分 配 的 IPv4 地 
址 ， 或 者 为 远程 用 户 进 行动 态 分 配 IPv4 地 址 而 
调用 的 IPv4 地 址 池 。 所 分 配 的 IPv4 地 址 必须 与 
LNS 上 配置 的 VT 接口 IP 地址 在 同一 卫 网 段 。 
如 果 远 程 用 户 已 经 手工 配置 了 静态 卫 地 址 ， 则 
如 果 希 望 本 端 为 对 端 分 配 的 王 地 址 具有 强制 性 ( 即 
不 允许 对 端 自行 指定 IP 地 址 ) ， 可 以 在 接口 下 配 
置 ppp ipcp remote-address forced 命令 。 
缺 省 情况 下 , 本 端 不 为 对 站 分 配 卫 地 址 ,可 用 undo 
remote address 命令 用 来 恢复 缺 省 值 


配置 VT 接口 所 采用 的 PPP 认证 方式 为 pap 或 者 
chap， 对 远程 用 户 进行 认证 。LNS 对 接 入 用 户 的 认 
证 、 以 及 IP 地 址 分 配 工作 是 由 VT 接口 负责 的 , 毕 
竟 此 时 VT 接口 才 支 持 PPP 协议 。LAC 和 LNS 上 
配置 的 认证 方式 应 保持 一 致 。 

缺 省 情况 下 ， 本 端 设 备 对 对 端 设 备 不 进行 认证 ， 
可 用 undo ppp authentication-mode 命令 恢复 缺 
省 情况 

配置 接口 的 最 大 传输 单元 值 ， 一 定 不 大 于 1458， 
其 他 说 明 参 见 表 5-6 的 第 5 步 。 仅 V200R006 及 以 
后 的 版 本 支持 


退回 到 系统 视图 


创建 L2TP 组 ,并 进入 L2TP 组 视图 。 用 于 配置 L2TP 
连接 参数 ， 接 入 LAC 发 起 的 连接 。 具 体 参 数 说 明 
参见 表 5-6 中 的 第 11 步 。 

当 L2TP 组 编号 为 1 时 , 可 以 配置 为 允许 任意 LAC 
接 入 


2 


16 









tunnel password { simple | 
cipher } password 


例如 : [Huawei-l2tp2] tunnel 
password simple huawel 


tunnel name tunnel-name 


例如 : [Huawei-l2tp2] tunnel 
name lycb 
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( 续 表 ) 
We 
配置 L2TP 隧道 认证 的 共享 密 钥 ， 需 要 和 LAC 保 
持 一 致 。 参 数 说 明 参 见 表 5-6 中 的 第 10 步 。 
缺 省 情况 下 ，L2TP 使 能 了 隧道 认证 功能 ， 未 配置 
隧道 认证 的 共享 密 钥 。 建 议 使 用 隧道 认证 功能 ， 如 
果 不 使 用 隧道 认证 功能 ， 则 执行 命令 undo tunnel 
authentication 
配置 隧道 名 称 ， 可 与 LAC 端的 隧道 名 称 不 一 致 。 
用 于 在 响应 LAC 发 起 的 L2TP 连接 时 与 LAC 协商 
建立 隧道 的 参数 。 参 数 说 明 参 见 表 5-6 中 的 第 11 步 。 
缺 省 情况 下 ， 如 果 未 指定 隧道 名 称 ， 则 设备 名 称 作 



















为 隧道 名 称 

配置 在 响应 LAC 隧道 连接 请 求 时 所 用 的 虚拟 接口 
模板 ， 以 便 对 接 入 用 户 进行 认证 ， 并 为 远程 用 户 分 
配 企 业 总 部 私 网 IP 地 址 。 同 时 还 可 以 指定 允许 接 


本 轩 入 的 LAC 端的 隧道 名 称 。 
命令 中 的 参数 说 日 
pmp 六 | 冤 令 中 的 参数 说 明 如 下 


e virtual-template virtual-template-number: 指定 
LNS 接 入 呼叫 时 所 使 用 的 VT 虚拟 接口 模板 及 编 
号 ， 整 数 形式 ， 取 值 范 围 是 0 一 1023。 

e remote remote-name: 可 选 ， 指 定 允 许 本 端 接 入 
呼叫 的 隧道 名 称 〈 即 LAC 端 配 置 的 隧道 名 称 ) ， 
字符 串 形 式 ， 区 分 大 小 写 ， 长 度 范 围 是 1 一 30。 当 
本 命令 所 在 的 L2TP 组 编号 不 为 1 时 ， 则 命令 中 必 
须 指 定 对 端的 隧道 名 称 。 

e vpn-instance vpn-instance-name: 可 选项 ， 指 定 
L2TP 连接 使 用 的 IP 地 址 所 属 VPN 实例 ， 字 符 串 
形式 ， 区 分 大 小 写 ， 长 度 范围 是 1 一 31。 

当 L2TP 组 编号 为 1 时 ， 可 以 不 指定 对 端 LAC 的 
隧道 名 称 ， 表 示人 允许 任意 LAC 接 入 。 

缺 省 情况 下 ， 不 接 入 L2TP 连接 请 求 ， 可 用 undo 
allow 命令 取消 接 入 L2TP 连接 请 求 


返回 系统 视图 





allow Ll2tp virtual-template 
virtual-template-number 

[ remote remote-name [ vpn- 
instance vpn-instance-name | | 
例如 : [Huawei-l2tp2] allow 


12tp virtual-template 1 
remote lycb 





quit 
例如 : [Huawei-l2tp2] quit 
















interface interface-type 配置 
interface-number y es 
19 A i LNS 公 | 进入 LNS 设备 连接 ISP 网 络 侧 的 物理 接口 视图 
例如 : [Huawei] interface 网 侧 接 
glgabitethernet 2/0/1 口 的 公 
ip address ip-address { mask | 网 IP 地 
| mask-length } 址 


20 | 例如 : [Huawei-Gigabit 配置 LNS 连接 ISP 侧 接口 的 公 网 IP 地 址 
Ethernet2/0/1] ip address 
202.1.2.1 255.255.255.0 


21 岂 管 LNS 公 网 到 LAC 公 网 的 了 P 路 由 
5.6.5 ”L2TP 维护 与 管理 
在 L2TP 配置 与 运行 维护 中 可 使 用 表 5-8 所 示 命 令 进行 管理 操作 。 
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表 S-8 L2TP 维护 与 管理 
在 任意 视图 下 查看 本 端 和 对 端的 L2TP 隧道 ID、 会 话 ID， 以 及 
display 1l2tp tunnel 对 端 公 网 地 址 等 信息 
在 任意 视图 下 奉 看 本 端 和 对 端的 L2TP 会 话 ID 信息 ， 以 及 所 属 
display 12tp session 的 本 端 隧道 ID 


display 1]2tp-group [ group-number ] | 在 任意 视图 下 查看 指定 L2TP 组 的 具体 配置 信息 

在 用 户 视图 下 根据 本 端 隧道 ID 或 | 手动 断 开 L2TP 连接 ， 强 制 
者 对 端 隧道 名 称 ， 强 制 断 开 隧道 | 断 开 L2TP 隧道 后 , 该 隧道 
连接 上 的 所 有 控制 连接 与 会 话 


reset 12tp session session-id 在 用 户 视图 下 根据 本 端 会 话 ID 强 | 连接 也 将 被 清除 , 当 有 新 用 
session-id 制 断 开 会 话 连接 户 拨 入 时 ， 还 可 重新 建立 


display 1l2tp tunnel [ tunnel-item 闪 翌 道 二 iu 泣 谱 
tunnel-item | tunnel-name tunnel- 银 据 本 呆 隘 过 We 或 者 对 闹 隧 道 名 
称 ， 碍 看 指定 隧道 的 具体 连接 参数 


name | 
MW A 和 ER 
, | ”| 根据 L2TP 隧道 的 公 网 源 地 址 或 者 | 监控 [2TP 隧道 及 会 话 状 
display 12tp session [ destination- 目的 地 址 ， 查看 对 应 的 会 话 ID; 根 况 ， 可 在 任意 视图 下 执行 


ip 4-ip-address | session-item session- er A oiyit 
item | source-ip s-ip-address ] 据 本 端 会 话 ID, 合 看 指定 会 话 的 具 


reset 1]2tp tunnel { peer-name 
remote-name | local-id tunnel-id } 





display 12tp statistics tunnel vk OA 人 
a 在 用 户 视图 下 查看 L2TP 协议 报 文 的 统计 信息 
pe 在 用 户 视图 下 重 署 L2TP 协议 报 文 的 统计 信息 


[ local-id tunnel-id | 


5.6.6 ”移动 办 公用 户 发 起 L2TP 隧道 连接 配置 示例 


本 示例 是 专门 针对 移动 办 公 员 工 访问 企业 总 部 网 络 的 情形 ， 属 于 Client-Initiated 模 
式 , 是 “LAC 接 入 呼叫 发 起 L2TP 隧道 连接 ”应 用 的 一 种 情形 , 其 基本 拓扑 结构 如 图 5-20 
所 示 ， 各 接口 IP 地 址 配置 如 表 5-9 所 示 。 


出 差 用 户 
(L2TP 拨号 软件 ) 


PC1 202.1.2.1/24 








GE1/0/0 ”LNS | “PC2 
202.1.1.1/24 ee 






VTI1 
192.168.2.1/24 


L2TP 封装 
) GE2/0/0 192.168.3.2/24 


5-20 ”移动 办 公用 户 发 起 L2TP 隧道 连接 示例 拓扑 结构 


表 5-9 各 接口 IP 地 址 配置 



















移动 办 公主 机 网 卡 
LNS 私 网 侧 GE2/0/0 


LNS 公 网 侧 GE1/0/0 
VT1 (远程 拨号 用 户 访问 总 部 网 络 的 私 网 网 关 ) 
在 这 种 情况 下 ， 需 要 将 总 部 网 关 部 署 为 LNS， 移 动 办 公 员 工 在 PC 终端 上 使 用 L2TP 
拨号 软件 〈 如 Windows 系统 目 融 的 L2TP 客户 端 功能 ， 或 者 Huawei VPN Client)， 束 可 
以 在 移动 办 公 员 工 主 机 和 总 部 网 关 之 间 建立 虚拟 的 点 到 点 连接 。 即 L2TP 隧道 是 在 移动 


202.1.1.1/24 
192.168.2.1/24 
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办 公 员 工 主机 与 企业 总 部 网 络 LNS 之 间 建 立 的 , 但 在 建立 L2TP 拨号 前 ， 客 户 端 必 须 已 
成 功 连 接 到 Internet 〈 可 以 是 任意 接 入 方式 )。 

1. 基本 配置 思路 分 析 

根据 前 文 的 介绍 可 知 ，Client-Initiated 模式 L2TP 隧道 的 建立 是 基于 移动 办 公 员 工 终 
闹 主 机 成 功 接 入 Internet (当然 企业 总 部 网 络 的 LNS 也 必须 成 功 接 入 Internet) 后 ， 再 利 
用 终端 主机 上 安装 的 L2TP 拨号 软件 向 LSN 发 起 L2TP 隧道 连接 请 求 。 即 Client-Initiated 
模式 下 ，L2TP 隧道 连接 请 求 是 由 终端 用 户 发 起 的 ， 不 是 由 LAC 发 起 的 《或 者 说 远程 用 
户 终端 主机 就 是 LAC)， 故 无 需 单独 配置 LAC。 其 基本 配置 思路 如 下 。 

(1) 配置 企业 总 部 网 关 设 备 作 为 LNS， 以 啊 应 移动 办 公 员 工 的 L2TP 隧道 建立 请 求 。 

(2) 移动 办 公 员 工 接 入 Internet 后 ， 通 过 设置 L2TP 拨号 软件 〈 本 示例 分 别 以 Windows 
10 系统 自 带 的 L2TP 客户 端 功能 和 Huawei VPN Client V100R001C02SPC703 进行 介绍 )， 
向 LNS 发 起 L2TP 连接 的 请 求 。 

2. 配置 LNS 

根据 5.6.4 市 介绍 的 LNS 配置 步 又， 再 结合 本 示例 实际 ， 可 按 如 下 步骤 配置 本 示例 
中 的 LNS。 

(1) 配置 LNS 公 网 接口 IP 地 址 及 路 由 ， 假 设 LNS 所 连接 的 ISP 设备 接口 的 卫 地 
址 为 202.1.1.2， 它 可 作为 LNS 访问 Internet 的 下 一 跳 卫 地 址 。 


<Huawel> System-view 

[Huawei] sysname LNS 

[LNS|] interface gigabitethernet 1/0/0 

[LNS-GigabitEthernet1/0/0] ip address 202.1.1.1 255.255.255.0 
[LNS-GigabitEthernet1/0/0] quit 

[LNS] ip route-static 0.0.0.0 0 202.1.1.2 ”#--- 配 置 访问 Internet 的 缺 省 路 由 


(2) 配置 LNS AAA 认证 ， 对 远程 L2TP 拨号 用 户 进行 身份 认证 。 假 设 用 户 账户 为 
winda, 密 公 为 lycb.com, 用 户 账 户 必 须 文 持 PPP 服务 类 型 .此 处 采用 缺 省 ISP 域 default， 
缺 省 的 default 认证 方案 〈 本 地 认证 ) ， 所 以 无 需 创 建 认证 方案 ， 也 无 需 指 定 所 使 用 的 
ISP 域 。 

[LNS] aaa 

[LNS-aaa] local-user winda password cipher lycb.com 

LLNS-aaa] local-user winda service-type ppp 

[LNS-aaa] quit 

(3) 使 能 L2TP 功能 。 

[LNS] jl2tp enable 

(4) 定义 一 个 用 来 为 移动 办 公 员 工 访问 企业 总 部 网 络 分 配 IP 地 址 的 私 网 IP 地 址 池 
(名 称 假设 为 Ins, 地 址 段 为 LNS 连接 企业 总 部 网 络 的 虚拟 网 关 一 一 VT 接口 的 卫 地 址 所 
在 网 段 )。 

[LNS|] ip pool Ins 

[LNS-ip-pool-lns] network 192.168.2.0 mask 24 


[LNS-ip-pool-lns] gateway-list 192.168.2.1 #--- 这 是 LNS 连接 总 部 网 络 的 虚拟 网 关 -VT 接口 的 卫 地 址 
[LNS-ip-pool-Ins] quit 


(S$) 配置 虚拟 接口 模板 ， 作 为 远程 拨号 用 户 访 问 总 部 私有 网 络 的 虚拟 网 关 ， 同 时 对 
L2TP 拨 入 用 户 进 行 私 网 IP 地 址 分 配 和 用 户 身份 认证 〈 因 为 以 太 网 接口 不 支持 PPP 认证 ， 
所 以 要 创建 支持 PPP 协议 的 虚拟 VT 接口 )。 
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[LNS| interface virtual-template 1 

[LNS-Virtual-Templatel | ip address 192.168.2.1 255.255.255.0 

[LNS-Virtual-Template1] ppp authentication-mode pap #-- 配 置 采 用 PAP 认证 方式 

[LNS-Virtual-Template1] remote address pool Ins ” #--- 调 用 前 面 创建 的 名 为 Ins 的 下 地 址 池 为 远程 拨 入 用 户 分 配 访问 
企业 总 部 网 络 的 私 网 下 地 址 

[LNS-Virtual-Templatel| quit 


(6) 配置 L2TP 组 。 本 示例 假设 允许 任意 远程 用 户 L2TP 拨号 接 入 无 需 指定 远程 
隧道 名 称 )， 所 以 可 创建 一 个 组 号 为 1 的 L2TP 组 。 配置 隧 道 认证 的 共享 密 钥 为 明文 
Huawei。 如 果 远 程 用 户 的 L2TP 客户 端 功能 不 支持 隧道 认证 (如 Windows 7 系统 )， 则 可 
取消 隧道 认证 功能 。 

[LNS] 12tp-group 1 

[LNS-l2tpl] tunnel authentication 

[LNS-l2tp1] tunnel password simple Huawei ”#--- 配 置 L2TP 隧道 认证 共享 密 钥 为 Huawei 

[LNS-l2tp1] allow 12tp virtual-template 1 ”#--- 置 LNS 绑 定 虚拟 接口 模板 

[LNS-12tp1] quit 

3. 配置 远程 终端 

前 文 说 到 ， 在 这 种 远程 用 户 发 起 的 L2TP 隧道 连接 的 应 用 中 需要 在 远程 用 户主 机 上 
安装 L2TP 拨号 软件 , 以 便 对 LNS 进行 L2TP 拨号 。 这 种 L2TP 拨号 功能 既 可 由 Windows、 
Linux 操作 系统 自 带 功能 实现 ， 又 可 使 用 华为 专门 的 VPN 客户 端 软 件 来 实现 。 在 此 分 别 
以 Windows 10 系统 中 的 L2TP 拨号 功能 和 Huawei VPN Client V100R001C02SPC703 为 例 
进行 介绍 。 

(1) Window 10 系统 下 的 L2TP 拨号 配置 

@ 右键 电脑 桌面 右 下 角 有 线 网 络 图 标 转 (或 无 线 网 络 图 标 )， 单 击 打开 “网 络 和 共 
享 中 心 ” 界 面 ， 如 图 5-21 所 示 。 

















这 网 络 和 共享 中 心 
个 等 控制 面板 ， 网 络 和 internet > 网 络 和 共享 中 心 
文件 (jj ”编辑 {E) 音 春 (V) 工具 (MT 帮助 (H) 





| i 查看 基本 网 络 信息 并 设置 连接 
查看 活动 网 络 

| 更 改 适配器 设置 

更 改 高 级 共享 设置 网 绾 访问 类 型 ， internet 
公用 网 络 连接 : 。。” 草 以 太 网 
| 要 改 网 络 设置 
| Ww 设 村 新 的 连接 或 网 络 

设置 宽带 、 找 号 或 VPN 连接 ; 或 设置 路 由 器 或 接 入 点 。 

internet 选项 诊 新 并 修复 网 络 问 三， 或 者 获得 疑难 解答 信息 。 

Windows 防 羔 接 

和 红外线 

家 庭 组 








图 5-21 “网 络 和 共享 中 心 ” 界 面 


@) 单 击 “ 设 置 新 的 连接 或 网 络 ” 链 接 ， 打 开 如 图 5-22 所 示 界 面 。 选 择 “ 连 接 到 工 
作 区 ”选项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 打 开 如 图 5-23 所 示 界 面 。 

@) 单 击 “使 用 我 的 Internet 连接 (VPN) (IT)” 链 接 ， 打 开 如 图 5-24 所 示 界 面 。 在 
“Internet 地 址 ” 栏 中 输入 VPN 服务 器 的 地 址 ， 即 LNS 公 网 卫 地 址 。 本 示例 中 ， 位 于 企 
业 总 部 网 络 边缘 的 LNS 的 公 网 卫 地 址 就 是 LNS 的 GE1/0/0 接口 的 他 地址, 为 202.1.1.1。 
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选择 一 个 连接 选项 你 希望 如 合 连 接 ? 








a | | -> 重用 我 的 Internet 连接 (VPN) 人 ) 
ee 本 | | 更 Yt Internet 使 用 示 拟 专用 网 络 WVPN)} 来 连接 


0 新风 络 
<e 虽 设置 新 的 路 由 加 或 接 和 二。 








> 直接 挨 号 (D) 
不 通过 internet 坪 接合 用 电话 号 码 来 连接 。 | 

















《及 连 这 到 工作 区 | 
键入 要 连接 的 internet 地 址 
网 阁 管理 员 可 可 供 此 地 址 。 


internet 地 址 (@; 





有 目标 名称 {E); 


过 记 住 天 的 余 握 (R) 


移 口 允 许 其 能 信 使 用 此 连接 (A) 
这 个 选项 允许 可 以 沪 问 这 台 计 算 机 的 人 使 用 此 连接 。 


| 
| 
ee | 
| 
| 
| 
| 





图 5-24 连接 到 工作 区 的 参数 配置 界面 


还 可 在 “目标 名 称 ” 栏 中 修改 所 创建 的 VPN 连接 名 称 ， 然 后 单 击 “ 创 建 ” 按 钮 即 
完成 新 的 VPN 连接 创建 过 程 , 创建 的 L2TP VPN 连接 可 在 “网 络 和 共享 中 心 ” 中 单 击 “ 更 
改 适配器 设置 ”链接 后 在 “网 络 连 接 ” 界 面 中 见 到 ， 如 图 5-25 所 示 。 


| 二 网络 壬 护 - ao x| 
| 二 ~ 个 :者 ， 控制 面板 ; 网 络 和 internet ， 网 络 连 接 v 也 换 索 网 党 .. 户 | 
: | 
| 文件 昌 。 编 镶 {E) ”查看 MV) ”工具 (TD 高 级 (N) 帮助 (H) 
| 组织 ~ 





L2TP VPN 连接 VirtualBox VirtualBox VirtualBox VirtualBox VirtualBox 
Host-Only Host-Only Host-Only Host-Only Host-Only 
Network #10 Network #6 Network #7 Network #8 Network #9 





图 5-25 “网 络 连接 ”界面 
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由 在 图 5-25 中 双击 “L2TP YPN” 选 项 , 打开 如 图 5-26 所 示 界 面 。 选择 “L2TP VPN” 
选项 ， 然 后 单 击 “高 级 选项 ”按钮 ， 打 开 如 图 5-27 所 示 界 面 。 


= ox 





| 优 主页 VPN 

| 

pt ”添加 VPN 连接 

| 网 络 租 internet ; 

| cyo 12TP VPN 连接 

| 多 状态 

| 

| i pe 





各 ”以太 网 
会 ” 援 号 
高 级 选项 
| 一 vpN 
允许 通过 按 流量 计 费 的 网 络 进行 VPN 连接 
| 他 ”数据 使 用 量 和 
@ rm 人 允许 漫游 时 进行 VPN 连接 
全》 于 
相关 设置 
筋 改 通 配器 选项 
更 改 痪 级 共 闻 设 路 
网 络 和 失事 中 心 
Windows 防火 墙 
图 5-26 “VPN 设置 ” 主 界面 





= | 


” 帝 L2TP VPN 连接 


连接 属性 
连接 名 称 L2TP VPN 连接 
服务 器 名 称 或 地 址 。 202.1.1.1 
登录 信息 的 类 型 。 用 户 名 和 密码 
用 户 名 加 选 
记 码 (可 选 ) 





i rs 
We 








”VPN 代理 属性 


这 些 设 置 将 仅 应 用 于 此 VPN 连接 。 


”自动 配置 


得 动 设置 可 能 会 蔡 代 你 输入 的 设置 。 若 要 使 用 你 手动 输入 的 设置 ， 
请 先 关闭 自动 设置 。 





图 5-27 “IL2TP VPN 连接 ”设置 界面 


@@ 单 击 “ 编 辑 ” 按 钮 ， 打 开 如 图 5-28 所 示 界 面 。 在 “VPN 类 型 ”下 拉 列 表 中 选择 
“ 预 共 享 密 钥 的 L2TP/IPSec” 选 项; 在 “ 预 共 享 密 钥 ” 栏 中 设置 前 文 在 LSN 上 配置 的 L2TP 
隧道 认证 的 共享 密 钥 ， 本 示例 为 Huawei; 在 “登录 信息 的 类 型 ”下 拉 列 表 中 选择 “用 户 
名 和 密码 ”选项 ， 在 “用 户 名 ” 栏 填 上 在 LNS 上 配置 的 用 户 账户 名 (本 示例 为 winda)， 
在 “密码 ” 栏 填 上 在 LSN 配置 的 winda 账户 对 应 的 密码 (本 示例 为 lycb.com), 以 便 LNS 
对 拨号 用 户 进行 认证 。 
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编辑 VPN 连接 


连接 名 称 
L2TP VPN 连接 . 


服务 器 名 称 或 地 址 


VPN 类 型 





5-28 “编辑 VPN 连接 ”界面 


配置 好 后 ， 单 击 “ 保 存 ” 按 钮 ， 保 存 VPN 参数 配置 ， 返 回 到 图 5-27 所 示 界 面 。 再 
单 击 界面 左上 角 的 一 按钮， 返回 到 图 5-25 所 示 界 面 。 在 需要 进行 L2TP 拨号 时 ， 选 择 前 
面 创建 的 “L2TP VPN ”选项 ， 然 后 单 击 “ 连 接 ” 按 钮 即 可 进行 。 但 前 提 是 ， 远 程 终 端 用 
户 和 LNS 均 已 成 功 接 入 Internet。 成 功 进行 L2TP 拨号 后 ， 终 端 用 户主 机 的 L2TP VPN 
连接 可 正确 获取 与 LNS 上 VT 接口 IP 地 址 在 同一 IP 网 段 的 私 网 IP 地 址 ， 可 以 和 总 部 
PC 互通 了 。 


常规 ”选项 安全 网 络 共享 





| VPN 类 型 T); 
如 果 未 要 行 隧 道 庆 证 ， 则 在 6 预 共 享 密 安 铀 ” .使 用 IPsec 的 第 2 忆 联 道 协 议 (L2TP/ipsec) _- EE 2 
了 数据 加 密 (D}: a SN ed 
栏 中 不 要 配置 共享 密 钥 。 i 


© 在 如 时 3 3 所 不 的 " 网 络 连 让 接 hs 石 | pA 
击 前 面 创建 的 “L2TP _ VPN” 连接， 选择 “属性 ” 快 pe ey 
捷 菜 单 , 在 打开 的 如 图 5-29 所 示 的 界面 中 选择 “安全” 。， a 
标签 页 ， 选 择 “允许 使 用 这 宇 协 议 ” 单 选项 , 然后 在 | 
下 面 根据 LNS 并 的 配置 选择 所 使 用 的 PPP 身份 认证 
协议 (本 示例 选择 “未 加 密 的 密码 (PAP) (U)” 复 ECHAP)CH 


回 Microsoft CHAP Version 2 {MS-CHAP v2) 


选项 ) 9 然后 单 击 加 确 和 2 按钮 完成 设置 oO 了 Windows 登录 名 称 和 密码 (及 域 ， 刀 票 
(2) Huawei VPN 客户 端的 配置 
下 面 介 绍 采 用 Huawei VPN Client (以 前 名 为 we 


Secoway VPN Client) V100R001 C02SPC703 版 本 软 ”图 5.29 “LL2TP VPN 0 界面 
件 建 立 L2TP 拨号 的 配置 步骤 。 “安全 ”标签 
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Q) 安装 好 Huawei VPN Client 软件 后 主 界面 如 图 5-30 所 示 。 单 击 工具 栏 中 的 “新 建 ” 
按钮 ， 打 开 如 图 5-31 所 示 向 导 首 页 ， 在 此 选择 “通过 输入 参数 创建 连接 ” 单 选项 。 
ee 新 建 连接 向 导 


文件 日 强 作 (BE) 查看 GO 工具 伞 ” 帮 盈 公 ) 





第 一 步 : 请 选择 创建 方法 。 








图 5-30 ”Huawei VPN Client 软件 主 界面 图 5-31 “第 一 步 : 请 选择 创建 方法 ”界面 


@) 单 击 “ 下 一 步 ” 按 钮 ， 打 开 如 图 5-32 所 示 界 面 。 在 “LNS 服务 器 地 址 ” 栏 中 输 
入 LNS 的 公 网 接口 IP 地 址 ， 如 本 示例 为 202.1.1.1， 在 “登录 用 户 名 ”和 “登录 密码 ” 
栏 中 分 别 填 上 在 LNS 上 配置 的 本 地 用 户 账 户 winda 和 登录 密友 lycb.com。 

@) 单 击 “下 一 步 ” 按 钮 ， 打 开 如 图 5-33 所 示 界 面 。 在 “隧道 名 称 ” 栏 不 填 ， 在 “ 认 
证 模式 ”下 拉 列 表 中 选择 和 LNS 上 配置 的 相同 的 认证 方式 PAP 或 CHAP( 本 示例 为 PAP 
认证 方式 )， 如 果 启 用 了 隧道 认证 功能 ， 则 要 选择 “启用 隧道 验证 功能 ”然后 在 “隧道 
验证 码 ” 栏 中 填 上 在 LSN 上 配置 的 隧道 共享 窗 钥 (本 示例 为 Huawei)。 


新 建 连接 向 导 
















| 新建 连 接 向 导 1 


第 二 步 : 请 输入 登录 设置 。 \y) 第 二 步 : 请 输入 L2TP 设 置 。 7 
HUAVYEI 


隧道 名 称 乌 ) : 
人 


LNS 服 务 器 地 址 {L): loz. 1.1.1 i 
登录 用 户 名 (Vy): Minds 


加 | 启用 隧道 验证 功能 包 ) 
登录 密码 (A): Pop 
三 不 保存 用 户 名 和 密码 {8) 
问 启用 IPSEC 安 全 协议 (8) 
从 括 共 京 花 四 1) 全 类 字符 各 (SBEey) 
曼 份 怠 证 他 


| 
| 
| 
| 
| 


| 
| 
| 
| 
| 
隧道 验证 密码 (TI): eeeer | 





< 上 一 步 (£) 





图 5-32 “第 二 步 : 请 输入 登录 设置 ”界面 图 5-33 “第 三 步 : 请 输入 L2TP 设置 ”界面 


由 单 击 “ 下 一 步 ” 按 钮 ， 打 开 如 图 5-34 所 示 界 面 。 在 这 里 可 修改 新 创建 的 连接 名 
称 。 单 击 “ 完 成 ”按钮 完成 L2TP 拨号 连接 的 创建 。 此 时 会 在 Huawei VPN Client 主 界 面 
中 显示 所 创建 的 L2TP 连接 ， 如 图 5-35 所 示 。 

@ 在 图 5-35 中 显示 的 新 创建 的 L2TP 连接 上 单 击 右键 ， 在 快捷 菜单 中 选择 “属性 ” 
选项 ， 打 开 连 接 属 性 界面 。 它 包括 “基本 设置 ”和 “L2TP 设置 ”两 个 标签 页 ， 分 别 为 
5-36 和 图 5-37， 在 其 中 可 修改 L2TP 设置 。 如 果 在 “基本 设置 ”标签 页 中 选择 了 “ 连 
接 成 功 后 允许 访问 Internet” 复 选项 ， 则 会 新 增 一 个 “路 由 设置 ”标签 页 ， 如 图 5-38 所 
示 ， 在 其 中 可 设置 当 访 问 指定 网 络 〈 如 要 访问 企业 总 部 网 络 ) 时 采用 VPN 连接 ， 否则 了 驶 
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是 访问 Intermet。 如 在 本 示例 中 ， 可 添加 所 要 访问 的 企业 总 部 网 络 192.168.3.0/24。 


新 建 连接 向 导 如 HUAWEI VPN Client 


最 后 一 步 : 新 建 连 接 完 成 。 





ny ED 


5-34 “最 后 一 步 : 新 建 连接 完成 ”界面 














EL2TP 属性 x | 
基本 设置 | L2TP 设 告 | | 














图 5-36 “基本 设置 ”标签 页 界面 图 5-37 “L2TP 设置 ”标签 页 界面 





图 5-38 “路 由 设置 ”标签 页 界面 
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5.6.7 LAC 接 入 传统 拨号 用 户 发 起 L2TP 隧道 连接 配置 示例 


如 图 5-39 所 示 ， 茶 企业 总 部 在 其 他 城市 设 有 分 支 机 构 ， 分 文 机 构 采 用 传统 拨号 〈 普 
通 Modem 或 ISDN 拨号 ) 方式 接 入 到 Internet 中 。 现 分 支 机 构 用 户 需 要 和 企业 总 部 用 户 
建立 VPDN 连接 ， 于 是 分 支 机 构 问 ISP 申请 L2TP 服务 ，ISP 将 连接 该 分 支 机 构 的 NAS 
(假设 也 为 华为 设备 ) 部 署 为 LAC， 以 便 将 分 支 机 构 用 户 的 拨号 连接 请 求 通 过 公 网 发 送 
到 LNS。 企 业 将 总 部 的 网 关 部 署 为 LNS， 为 分 支 用 户 提供 接 入 服务 ， 实 现 分 文 用 户 和 总 
部 网 关 之 间 的 L2TP 连接 。 各 接口 IP 地 址 配置 如 表 5-10 所 示 。 


VTI1 
192.168.2.1/24 


CR 





LNS 





ee GE1/0/0 
202.1.1.1/24 


GE1/0/0 202.1.2.1/24 






PPP 终端 


图 5-39 ”LAC 接 入 传统 拨号 用 户 发 起 L2TP 隧道 连接 示例 的 拓扑 结构 


表 5-10 各 接口 IP 地 址 配置 
LAC 公 网 侧 接口 GE1/0/0 202.1.1.1/24 
VT1 (远程 用 户 访问 总 部 网 络 的 私 网 网 关 ) | 192.168.2.124| 


1. 基本 配置 思路 分 析 

这 是 前 文 介绍 的 NAS-Initiated 隧道 模式 ，L2TP 隧道 连接 是 由 LAC 发 起 的 。 本 示例 中 
的 LAC 是 由 连接 分 支 机 构 的 ISP NAS 设备 担当 。 这 时 分 支 机 构 用 户 只 需 使 用 传统 拨号 方式 
拨 到 ISP 的 NAS 设备 ， 然 后 NAS 根据 拨 入 用 户 的 类 型 ， 把 支持 L2TP 服务 用 户 的 拨 入 请 求 
转发 到 企业 总 部 网 络 的 LNS， 以 最 终 实现 分 支 机 构 用 户 成 功 访 问 企 业 总 部 内 部 网 络 资源 。 

本 示例 包括 LAC 和 LNS 两 方面 的 配置 ，LAC 配置 是 在 分 支 机 构 ISP 的 NAS 设备 
进行 的 ， 具 体 包括 以 下 几 方 面 的 配置 任务 (由 ISP 负责 配置 )。 

(1) 配置 AAA 本 地 认证 (也 可 采用 RADIUS 认证 方案 )， 以 对 发 起 拨 入 请 求 的 用 户 
区 分 是 否 为 支持 L2TP 服务 的 VPDN 用 户 。 

(2) 配置 LAC 发 起 L2TP 连接 ， 包 括 使 能 L2TP， 配 置 L2TP 组 。 

LNS 的 配置 任务 与 LAC 的 配置 任务 差不多 ， 有 具体 如 下 。 

(1) 配置 AAA 本 地 认证 (也 可 采用 RADIUS 认证 方案 )。LNS 需要 认证 分 支 机 构 
拨号 用 户 的 映 份 信息 。 

(2) 配置 LNS 响应 L2TP 连接 。LNS 需要 对 接 入 用 户 进行 管理 ， 创 建 与 企业 总 部 
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LNS 上 配置 的 私 网 网 关 一 一 VT 接口 的 了 P 地 址 在 同一 网 段 的 IP 地址 池 , 为 分 广 用 户 分 配 
私 网 IP 地 址 。 同时 LNS 需要 和 远程 用 户 进行 PPP 协商 , 使 用 虚拟 接口 模板 配置 协商 参数 。 

另外 ，LNS 需要 接 入 LAC 发 起 的 L2TP 连接 请 求 ， 配 置 L2TP 组 。 

2. 配置 LAC 

本 示例 中 的 LAC 是 位 于 分 文 机 构 所 连接 的 ISP 网 络 中 的 ， 所 以 是 由 ISP 进行 配置 。 
如 果 是 华为 设备 的 话 ， 可 按 5.6.3 节 介 绍 的 配置 步骤 进行 如 下 配置 : 

(1) 配置 LAC 的 AAA 本 地 认证 

假设 发 起 拨号 的 用 户 名 为 winda， 密 码 为 lycb.com。 如 果 有 多 个 用 户 的 话 ， 则 需要 
创建 相应 的 用 户 账 户 。 采 用 缺 省 的 ISP 域名 default， 缺 省 的 default 本 地 认证 方案 。 


<Huawel> System-view 

[Huawei| sysname LAC 

[LAC] aaa 

[LAC-aaa] local-user winda password cipher lycb.com 

[LAC-aaa] local-user winda service-type ppp #--- 配 置 用 户 支 持 PPP 服务 类 型 

[LAC-aaal quit 

(2) 使 能 L2TP 服务 ， 创 建 一 个 L2TP 组 ， 假 设 组 号 为 1。 

[LAC] 12tp enable 

[LAC] 12tp-group 1 

(3) 配置 LAC 本 端 隧道 和 4 役 为 lac)， 并 指定 对 端 LNS 设备 的 公 网 接口 PP 地 址 。 

[LAC-l2tp1] tunnel name lac 

[LAC-l2tp1] start 12tp ip 202.1.1.1 tinas winda #-- .指定 LNS 公 网 IP 地 址 ， 并 指定 采用 全 用 户 名 方式 向 LNS 
发 起 L2TP 隧道 连接 

(4) 局 用 隧道 认证 功能 并 设置 隘 道 认证 的 共享 密 钥 (假设 为 a 和 LNS 端 设 


备 配 置 保持 一 致 。 


[LAC-l2tp1] tunnel authentication 

[LAC-l2tp1] tunnel password simple huawei 

[LAC-l2tp1] quit 

(5) 配置 LAC 连接 Internet 接口 的 公 网 卫 地 址 。 
[LAC] interface gigabitethernet 1/0/0 

[LAC-GigabitEthernet1/0/0] ip address 202.1.2.1 255.255.255.0 
[LAC-GigabitEthernet1/0/0] quit 


(6) 配置 LAC 到 LNS 的 路 由 ， 此 处 使 用 主机 静态 路 由 ， 假 设 下 一 跳 的 IP 地 址 为 
20 和 1 2。 

[LAC] ip route-static 202.1.1.1 32 202.1.2.2 

3， 配 置 LNS 

LNS 是 位 于 企业 总 部 网 络 公 网 边缘 ， 作 为 连接 Internet 的 网 关 设 备 。 可 按照 5.6.4 节 
介绍 的 配置 步骤 进行 如 下 配置 。 

(1) 配置 AAA 本 地 认证 ， 认 证 账户 与 LAC 上 的 一 样 。 假 设 也 采用 缺 省 的 ISP 域名 
default， 缺 省 的 default 本 地 认证 方案 。 


<Huawei> system-view 
[Huaweil] sysname LNS 
[LNS] aaa 
~ [LNS-aaa] iocal-user winda password cipher [ycb.com 
[LNS-aaa] local-user winda service-type ppp 
~ [LNS-aaal quit 


(2) 配置 私 网 下 地 址 池 ， 用 于 为 远程 拨号 用 户 分 配 访问 企业 总 部 网 络 的 私 网 下 地 址 。 了 人 P 


278 华为 VPN 学 习 指南 


网 段 必 须 与 LNS 上 配置 的 连接 企业 总 部 虚拟 私 网 网 关 一 一 VT 接口 的 中 地 址 在 同一 卫 网 段 。 


[LNS| ip pool ] 

[LNS-ip-pool-1|] network 192.168.2.0 mask 24 

[LNS-ip-pool-1] gateway-list 192.168.2.1 

[LNS-ip-pool-1] quit 

(3) 配置 PPP 协商 参数 ， 包 括 创 建 VT 接口 ， 并 配置 其 IP 地 址 ， 同 时 要 配置 对 接 入 
用 户 进 行 认证 的 方式 (本 示例 假设 采用 CHAP 认证 方式 ), 以 及 VT 接口 为 远程 接 入 分 配 
私 网 IP 地 址 时 所 调用 的 人 P 地 址 池 。 

[LNS| interface virtual-template 1 

[LNS-Virtual-Templatel | ip address 192.168.2.1 255.255.255.0 

[LNS-Virtual-Templatel| ppp authentication-mode chap 

[LNS-Virtual-Templatel | remote address pool | 

[LNS-Virtual-Templatel| quit 

(4) 使 能 L2TP 服务 ， 创 建 一 个 L2TP 组 (假设 组 号 为 1)。 

[LNS] tp enable 

[LNS] 12tp-group 1 


(5) 配置 LNS 本 端 隧道 名 称 〈 假 设 为 Inhs)， 并 指定 LAC 的 隧道 名 称 ( 当 L2TP 组 
号 为 1 时 也 可 不 指定 对 端 隧道 名 称 )。 


[LNS-l2tp1] tunnel name lns 
[LNS-l2tpl] allow l2tp virtual-template 1 remote lac 


(6) 启用 隧道 认证 功能 并 设置 隧道 认证 的 共享 密 钥 (与 LAC 上 的 配置 一 致 ， 为 huawei)。 
[LNS-l2tp1] tunnel authentication 

[LNS-l2tp1] tunnel password simple huawel 

[LNS-L2tp1] quit 


(7) 配置 LNS 公 网 的 卫 地址 及 路 由 ， 假 设 访问 公 网 的 路 由 下 一 跳 地 址 为 202.1.1.2。 


[LNS] interface gigabitethernet 1/0/0 
[LNS-GigabitEthernet1/0/0| ip address 202.1.1.1 255.255.255.0 
[LNS-GigabitEthernet1/0/0] quit 

[LNS] ip route-static 0.0.0.0 0 202.1.1.2 


配置 成 功 后 ， 当 远程 用 户主 机 上 线 并 成 功 拨 入 LAC 后 ， 在 LNS 上 执行 display 12tp 
tunnel 命令 可 看 到 隧道 及 会 话 建立 ， 可 与 企业 总 部 的 主机 互通 了 。 


5.6.8 LAC 接 入 PPPoE 用 户 发 起 L2TP 隧道 连接 配置 示例 


本 示例 与 5.6.7 节 中 示例 类 似 ， 都 是 属于 NAS-Initiated 隧道 模式 ， 不 同 的 是 本 示例 
中 的 分 支 机 构 是 采用 以 太 网 直接 接 入 Internet (如 光纤 以 太 网 接 入 )， 而 不 是 采取 传统 拨 
号 方式 接 入 ， 如 图 5-40 所 示 。 


LAC GE2/0/0 
(PPPoE 服务 器 ) 192.168.3.1/24 


GE1/0/0 GE1/0/0 
202.1.1.1/24 202.1.1.1/24 








: GE2/0/0 


L2TP 隧道 , I PC2 





PPP 终端 VT1 
(PPPoE 客户 端 ) 192.168.2.1/24 


图 5-40 LAC 接 入 PPPoE 用 户 发 起 L2TP 隧道 连接 示例 的 拓扑 结构 
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现在 分 文 机 构 用 户 也 需要 和 企业 总 部 用 户 建立 YPDN 连接 , 在 分 文 和 总 部 之 间 部 署 
L2TP。 但 因为 分 文 机 构 没 有 拨号 网 络 ， 所 以 需要 将 分 文 的 网 天 部 署 为 PPPoE 服务 兢 ， 
使 分 支 机 构 用 户 的 PPP 拨号 (可 以 是 操作 系统 自 带 的 PPPoE 客户 端 功能 , 也 可 用 专门 的 
PPPoE 拨号 软件 进行 拨号 ) 可 以 通过 以 太 网 进行 网 络 传 输 ， 同 时 分 支 机 构 的 网 关 也 部 署 
为 LAC， 和 总 部 建立 L2TP 隧道 。 企 业 总 部 的 网 关 部 署 为 LNS， 为 分 文 用 户 提 供 接 入 服 
务 ， 实 现 分 支 用 户 和 总 部 网 关 之 间 的 L2TP 连接 。 各 接口 IP 地 址 配置 如 表 5-11 所 示 。 








来 5-11 各 接口 IP 地 址 配置 
楼 和 由， | 了 地址， ， 
LAC 公 网 侧 接 口 GEIOA0 LNS ee GE1/0/0 202.1.1.1/24 


LNS 私 网 侧 接口 GE2/0/0 192.168.2.1/24 

1. 基本 配置 思路 分 析 

本 示例 也 同时 涉及 LAC 和 LNS 的 配置 ，LAC 是 由 分 支 机 构 的 公 网 网 关 担 当 ，LNS 
是 由 企业 总 部 网 络 的 公 网 网 关 担 当 。 因 为 分 支 机 构 没 有 传统 拨号 网 络 ， 为 了 使 用 户 访 问 
企业 总 部 网 络 的 L2TP 报 文 能 够 在 以 太 网 中 传输 , 需要 在 分 支 机 构 的 公 网 网 关 配 置 PPPoE 
服务 器 。 当 然 ， 在 终端 用 户主 机 上 还 要 配置 PPPoE 拨号 客户 端 

LAC 和 LNS 的 基本 配置 思路 如 下 。 

(1) 配置 LAC 为 PPPoE 服务 器 ， 使 用 CHAP 认证 方式 (也 可 以 是 PAP 认证 方式 )， 
对 接 入 的 分 文 用 户 拨号 进行 认证 。 

(2) 配置 LAC 的 AAA 本 地 认证 (也 可 根据 需要 采用 RADIUS 认证 方案 )， 创 建 相 
应 的 拨号 用 户 账户 信息 ， 以 便 对 拨号 用 户 的 身份 进行 认证 。 

(3) 配置 LAC 发 起 L2TP 连接 ， 为 符合 条 件 的 用 户 建 立 到 达 总 部 的 L2TP 连接 。 

(4) 在 LNS 上 配置 AAA 本 地 认证 (也 可 根据 需要 采用 RADIUS 认证 方案 )， 创 建 
相应 的 拨号 用 户 账户 信息 ， 以 便 对 拨号 用 户 的 身份 进行 认证 。 / 

(5) 在 LNS 上 配置 企业 总 部 私 网 IP 地 址 池 ， 用 于 为 拨 入 的 分 支 机 构 用 户 分 配 企业 
总 部 网 络 的 私 网 IP 地 址 。 

(6) 在 LNS 上 配置 啊 应 L2TP 连接 ， 使 用 虚拟 接口 模板 配置 协商 参数 ， 配 置 L2TP 
组 和 LAC 建立 隧道 。 

(7) 在 分 文 机 构 用 户主 机 上 配置 PPPoE 客户 端 ， 以 便 该 用 户 可 以 发 起 访问 位 于 分 支 机 
构 公 网 边缘 的 LAC 的 PPPoE 拨号 连接 ， 其 目的 仅 是 用 来 触发 LAC 向 LNS 发 起 L2TP 拨号 。 

2. 配置 LAC 

本 示例 中 的 LAC 是 位 于 分 支 机 构 公 网 边缘 , 既 作 为 分 支 机 构 以 太 网 方式 接 入 Internet 
的 网 关 ， 同 时 也 作为 PPPoE 服务 器 ， 接 受 来 自分 支 机 构 内 部 用 户 发 起 的 PPPoE， 还 作为 
L2TP VPN 中 的 LAC， 通 过 接受 分 支 机 构 内 部 用 户 发 送 的 PPPoE 报 文 触发 到 达 LNS 的 
L2TP 拨号 。 下 面 仅 就 PPPoE 服务 器 角色 和 LAC 角色 的 配置 步骤 进行 介绍 。 

(1) 配置 LAC 为 PPPoE 服务 器 。 

_# 创建 虚拟 接口 模板 ， 配 置 和 分 支 用 户 进行 PPP 协商 。 


， <Huawei> system-view 
[Huawei] sysname LAC 
[LAC] interface virtual-template 1 
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[LAC-Virtual-Templatel| ppp authentication-mode chap 
[LAC-Virtual-Tempjlatel1] quit 


# ”在 和 用 户 侧 连接 的 物理 接口 上 配置 PPPoE 服务 ， 引 入 虚拟 接口 模板 。 


[LAC] interface gigabitethernet 2/0/0 

[LAC-GigabitEthernet2/0/0|] pppoe-server bind virtual-template 1 

[LAC-GigabitEthernet2/0/0] quit 

(2) 配置 LAC 的 AAA 本 地 认证 。 假 设 拨号 用 户 名 和 密码 分 别 为 winda、1lycb.com。 
[LAC] aaa 

[LAC-aaal| local-user winda password cipher lycb.com 

[LAC-aaal| local-user winda service-type ppp 

[LAC-aaal quit 

(3) 配置 LAC 发 起 L2TP 连接 。 

# 使 能 L2TP 服务 ， 创 建 一 个 L2TP 组 。 


[LAC] jl2tp enable 
[LAC] 12tp-group 1 


# 配置 LAC 本 端 隧道 名 称 〈 假 设 为 lac) 及 指定 LNS 的 公 网 卫 地 址 。 如 有 多 个 用 


户 时 ， 需 要 多 次 执行 start 12tp ip fullusername 命令 。 


LAC-l2tp1] tunnel name lac 
[LAC-12tp1] start lj2tp ip 202.1.1.1 fullusername winda 


# ”启用 隧道 认证 功能 并 设置 隧道 认证 的 共享 密 钥 (假设 为 huawei) 和 LNS 端 保持 一 致 。 


[LAC-l2tpl | tunnel authentication 
[LAC-l2tp1] tunnel password simple huawel 
[LAC-l2tp1] quit 


(4) 配置 LAC 公 网 的 卫 地 址 和 到 LNS 的 路 由 , 假设 下 一 跳 IP 地 址 (分 机 机 构 ISP 
端 用 户 侧 接口 的 IP 地 址 ) 为 202.1.2.2。 


[LAC | interface gigabitethernet 1/0/0 
[LAC-GigabitEthernet1/0/0] ip address 202.1.2.1 255.255.255.0 
[LAC-GigabitEthernet1/0/0] quit 

[LAC] ip route-static 202.1.1.1 32 202.1.2.2 


3. 配置 LNS 

LNS 是 位 于 企业 总 部 网 络 的 公 网 边缘 ， 也 是 作为 企业 总 部 网 络 的 公 网 网 关 ， 同 时 也 
作为 L2TP VPN 中 的 LNS, 接受 来 自 LAC 的 L2TP 拨号 连接 请 求 ， 并 对 拨号 用 户 进行 身 
份 认证 。 有 具体 配置 步骤 如 下 。 

(1) 配置 LNS 的 AAA 本 地 认证 ， 用 户 账户 信息 与 LAC 上 配置 的 一 样 。 也 假设 使 
用 缺 省 的 ISP 域 default， 缺 省 认证 方案 default 的 本 地 认证 方案 。 


<Huawel> System-view 

[Huawel] sysname LNS 

[LNS] aaa 

[LNS-aaa] local-user winda password cipher lycb.com 
[LNS-aaa]l local-user winda service-type ppp 
[LNS-aaal quit 


(2) 配置 LNS 的 私 网 IP 地 址 池 ， 用 于 为 拨号 用 户 分 配 访问 企业 总 部 网 络 的 私 网 IP 
地 址 。 网 关 IP 地 址 为 下 面 创建 的 VT 接口 的 I 了 PP 地址 。 


[LNS|] ip pool ] 

[LNS-ip-pool-1] network 192.168.2.0 mask 24 
[LNS-ip-pool-1| gateway-list 192.168.2.1 
[LNS-ip-pool-1] quit 


(3) 配置 LNS 的 PPP 协商 参数 。 
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[LNS] interface virtual-template 1 

[LNS-Virtual-Templatel | ip address 192.168.2.1 255.255.255.0 

[LNS-Virtual-Templatel | ppp authentication-mode chap 

[LNS-Virtual-Template1] remote address pool ] #--- 调 用 前 面 创建 的 IP 地 址 池 为 拨 入 用 户 分 配 IP 地 址 
[LNS-Virtual-Templatel | quit 


(4) 配置 LNS 啊 应 L2TP 连接 。 
# 使 能 L2TP 服务 ， 创 建 一 个 L2TP 组 。 


LLNS] lj2tp enable 
LLNS] 12tp-group 1 


# ”配置 LNS 本 端 隧道 名 称 〈 假 设 为 Ins)， 并 指定 LAC 端 配置 的 隧道 名 称 ， 表 示人 允 


许 接受 指定 的 对 新 隧道 拨号 请 求 。 如 果 要 允许 多 个 隧道 的 L2TP 拨号 i 则 要 多 次 配置 。 


隧道 


[LNS-L2tpl| tunnel name lns 
[LNS-l2tp1] allow lL2tp virtual-template 1 remote lac 


# 局 用 隧道 认证 功能 并 设置 隘 道 认证 的 共享 密 钥 (假设 为 huawei)， 必 须 与 LAC 


端的 配置 一 致 ， 但 各 LAC 端 隧道 使 用 的 共享 密 钥 都 一 致 ， 因 为 在 LSN 端 只 能 配置 一 个 


首 认 证 的 共享 密 钥 。 


[LNSs-l2tp1j tunnel authentication 
[LNS-l2tp1j tunnel password simple huawei 
LLNS-l2tp1] quit 


(5) 配置 LNS 的 公 网 IP 地 址 和 到 达 LAC 的 路 由 ， 假 设 下 一 跳 IP 地 址 (企业 总 部 


网 络 ISP 端 LNS 侧 接 口 的 IP 地 址 ) 为 202.1.1.2。 


[LNS] interface gigabitethernet 1/0/0 
[LNS-GigabitEthernet1/0/0] ip address 202.1.1.1 255.255.255.0 
[LNS-GigabitEthernet1/0/0] quit 

[LNS] ip route-static 202.1.2.1 32 202.1.1.2 


(6) 配置 LNS 私 网 的 IP 地 址 。 


[LNS] interface gigabitethernet 2/0/0 
[LNS-GigabitEthernet2/0/0] ip address 192.168.2.1 255.255.255.0 


4. 配置 PPPOE 客户 端 
此 处 以 Windows 10 系统 为 例 介绍 终端 用 户 PPPoE 拨号 到 LAC 的 PPPoE 客户 端 配 


置 方法 。 


(1) 右键 电脑 桌面 右 下 角 有 线 网 络 图 标 图 (或 无 线 网 络 图 标 )， 单 击 打 开 “ 网 络 和 共 


享 中 心 ” 界 面 ， 如 图 5- 41 所 示 。 | 















ES 网 络 和 共享 中 心 
个 “大 ， 控制 面板 ; 网 络 和 internet ; 网 络 和 共享 中 心 
| 文件 (有 ”编辑 (E) ”查看 (V) ”工具 (T) 帮助 (H) 
= > 9 FE 二 | sr \ 
| 查看 基本 网 络 信息 并 设置 连接 
| 查看 活动 网 络 
| 更改 适配器 设置 
| ”更 改 高 级 共享 设置 网 络 访问 类 型 :Internet 
公用 网 络 和 连接: 幕 以 六 网 
| 
{ 
! 
-Pn [问题 二 对 解答 
internet 选项 育 靳 并 修复 网 络 问题 ,或 者 获得 疑难 解答 信息 ， 
Windows 防火 培 
红外 线 
家 庭 组 


5-41 “< 网络 和 共享 中 必 ”和 错 面 
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(2) 单 击 “ 设 置 新 的 连接 或 网 络 ” 链 接 ， 打 开 如 图 5-42 所 示 界 面 。 
(3) 单 击 “连接 到 Internet” 链 接 ， 打 开 如 图 5-43 所 示 界 面 。 因 为 当前 已 连接 到 
Internet， 所 以 会 提示 “你 已 连接 到 Internet”。 





i x = XxX | 
《党 设 村 这 近 或 网 阁 | | 愉 连 护 到 Internet ] 


选择 一 个 连接 选项 | ”你 已 经 连接 到 Internet 


师 一 一 一 低 














->》 设置 新 连接 (S) 





| 
| 








图 5-42 “设置 连接 或 网 络 ” 界 面 图 5-43 “连接 到 Internet ”界面 


(4) 单 击 “设置 新 连接 ”链接 , 打开 如 图 5-44 所 示 界 面 。 在 其 中 单 击 “宽带 (PPPoE ) 
(R)” 链 接 ， 打 开 如 图 5-45 所 示 界 面 。 在 其 中 填 上 用 于 PPPoE 拨号 的 用 户 喘 份 认证 信息 
( 即 在 LAC 上 配置 的 身份 认证 信息 )， 并 可 以 修改 连接 名 称 。 










《内 连接 到 internet ¢ iintemnet 








你 希望 如 何 连 接 ? 键入 你 的 Internet 服务 提供 高 (1SP) 提 供 的 信息 
一 一 一 一- 一 Ra 
| sp 
EC A RE 
绍 拨号 (D) | 
全 用 拔 号 测 制 解 滑 蛇 或 iSDN 连接 . 
连接 名 称 {N): 
多 口 


允许 其 他 人 使 用 此 连接 (A) 
这 个 选项 允许 可 以 访问 这 台 计 算 机 的 人 使 用 此 连接. 
我 治 有 SP 


Pr 





图 5-44 “你 希望 如 何 连 接 ? ”界面 图 5-45 “和 链 入 你 的 Internet 服务 器 (ISP) 
提供 的 信息 ”界面 


(5) 单 击 “连接 ”按钮 就 开始 尝试 连接 Internet 了 ， 如 图 5-46 所 示 ， 事 实 上 本 示例 
中 当然 不 是 连接 Internet， 而 是 连接 LAC 了 。 

配置 成 功 后 ， 当 终端 用 户 PPPoE 拨号 到 LAC 成 功 后 ， 在 LAC 上 执行 display 
pppoe-server session all 命令 可 看 到 PPPoE 会 话 。 在 LAC 或 者 LNS 上 执行 display 12tp 
tunnel 命令 可 看 到 L2TP 隧道 及 会 话 建立 。 此 时 终端 用 户主 机 可 以 和 企业 总 部 的 主机 互 
通 了 。 
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| <、 内 连接 到 internet 





| 

| % W 

| 正在 连接 到 公司 总 部 连接 .… 
| 

| 

| 





正在 连接 , 通过 WAN Miniport {PPPOE}... 











图 5-46 “PPPoE 拨号 连接 示意 图 


5.7 LAC 自 拨号 发 起 L2TP 隧道 连接 的 配置 与 管理 


在 LAC 目 拨号 发 起 L2TP 连接 方案 中 ， 用 户 无 需 拨号 ， 可 以 任意 方式 接 入 LAC， 
LAC 使 用 虚拟 模板 接口 发 起 PPP 会 话 ， 并 使 用 上 自 拨 号 功能 加 LNS 发 起 L2TP 连接 ， 其 
拓扑 结构 如 图 5-47 所 示 。 此 时 ， 总 部 LNS 人 允许 分 支 机 构 的 任意 用 户 接 入 ， 只 对 分 支 机 
构 网 关 〈 即 LAC) 认证 ， 总 部 网 关 部 署 为 LNS。 通 过 LAC 自 拨 号 的 方式 ， 在 LAC 和 
LNS 之 则 建立 虚拟 的 点 到 点 连接 ， 分 支 机 构 用 户 的 人 P 报 文 到 达 LAC 后 路 由 转发 到 虚拟 
模板 接口 ， 经 L2TP 隧道 发 送 至 LNS， 再 经 路 由 转发 到 达 目 的 主机 。 

在 配置 L2TP 之 前 ， 需 完成 以 下 任务 。 

e LAC 和 LNS 接 入 Internet， 且 路 由 可 达 。 

。 分 文 机 构 用 户 和 LAC 建立 局 域 网 连接 ，LAC 作为 接 入 Internet 的 网 关 。 





PPP 终端 L2TP 隧道 ， 


图 5-47 LAC 自 拨 号 发 起 L2TP 连接 典型 结构 示意 图 


5.7.1 配置 任务 


LAC 目 拨号 发 起 L2TP 连接 方案 所 涉及 的 配置 任务 总 体 来 说 与 $.6.1 节 介 绍 的 “LAC 
接 入 呼叫 发 起 L2TP 隧道 连接 ”方案 的 配置 任务 类 似 ， 也 涉及 以 下 三 个 方面 。 
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(1) 配置 AAA 认证 

只 需要 在 LNS 配置 ， 因 为 本 方案 中 的 L2TP 连接 是 由 LAC 自动 发 起 的 ， 在 L2TP 
方面 ，LAC 无 需 对 接 入 用 户 进行 认证 。LNS 可 采用 AAA 本 地 认证 方案 ， 也 可 采用 远程 
RADIUS 认证 方案 ， 有 具体 的 配置 方法 参见 5.6.2 节 的 表 5-4、 表 5-5。 

(2) 配置 自 拨号 发 起 L2TP 隧道 连接 的 LAC， 这 是 “LAC 自 拨号 发 起 L2TP 连接 ” 
方案 的 核心 配置 所 在 。 

(3) 配置 啊 应 L2TP 连接 的 LNS。 这 方面 的 配置 也 与 5.6.4 市 介绍 的 LAC 接 入 呼叫 
发 起 L2TP 隧道 连接 方案 中 的 LNS 配置 方法 完全 一 样 ， 参 见 即 可 。 

在 配置 LAC 接 入 呼叫 发 起 L2TP 隧道 连接 的 任务 中 ，LAC 配置 的 基本 流程 如 表 5-12 
所 示 ，LNS 配置 的 基本 流程 如 表 5-13 所 示 。 


表 5-12 LAC 配置 的 基本 流程 

”配置 任务 可 二 步 强 | | 0 ， 说 朋 
使 能 L2TP 全 局 使 能 L2TP 

e 在 虚拟 接口 模板 《VT 接口 ) 上 配置 拨号 参数 ， 作 为 虚拟 拨 
配置 PPP 协商 | 号 接口 
。 配置 VT 接口 的 I 了 P 地 址 ， 使 接口 IP 协议 生效 
。 配置 L2TP 参数 , 包括 隧道 名 称 、 隧 道 密码 、LNS 地 址 、VPDN 
配置 L2TP 组 | 用 户 名 
。 还 可 以 配置 AVP 参数 加 密 、 主 备 LNS、Hello 报 文 时 间 


配置 LAC 发 起 
L2TP 连接 


配置 远程 认证 | 密码 和 用 户 类 型 ， 认 证 接 入 的 用 户 信息 。 如 果 配 置 了 LCP 重 协 
商 或 者 CHAP 强制 认证 功能 ,也 用 于 对 远程 用 户 进行 二 次 认证 
使 能 L2TP 全 局 使 能 L2TP 

、 | 认证 通过 后 , 可 以 为 远程 用 户 动 态 分 配 IP 地 址 。 如 果 为 远程 用 
配合 轩 地 直 池 | 户 配置 静态 IP 地 址 ， 则 无 需 此 步骤 
。 在 虚拟 接口 模板 (VT 接口 ) 上 配置 PPP 认证 方式 为 PAP 或 
者 CHAP， 认 证 接 入 用 户 ， 和 LAC 保持 一 致 
本 年 TNS 响应 | 配置 PPP 协商 |。 配置 人 P 地 址 ， 作 为 L2TP 隧道 的 私 网 网 关 地 址 

e。 如 果 为 远程 用 户 动态 分 配 卫 地 址 ， 则 引入 IP 地 址 池 

e 如 果 配 置 CHAP 强制 认证 功能 , 则 PPP 认证 方式 必须 为 CHAP 
配置 L2TP 参数 ， 包 括 隧道 名 称 、 隧 道 密码 、 绑 定 VT 接口 编 
配置 L2TP 组 | 号 和 LAC 的 隧道 名 称 。 
还 可 以 配置 AVP 参数 加 密 、Hello 报 文 时 间 


表 5-13 LNS 配置 的 基本 流程 
”配置 任务 配置 步骤 
在 本 地 保存 用 户 名 、 密 码 和 类 型 ， 认 证 接 入 的 用 户 信息 。 如 果 
配置 本 地 认证 | 配置 了 LCP 重 协 商 或 者 CHAP 强制 认证 功能 ， 也 用 于 对 远程 
AAA 认证 用 户 进行 二 次 认证 
(二 选 一 ) 配置 RADIUS 服务 器 参数 ， 在 RADIUS 服务 器 上 保存 用 户 名 、 


5.7.2 配置 LAC 
在 LAC 目 拨号 发 起 L2TP 隧道 连接 的 方案 中 , 因为 LAC 无 需 对 接 入 用 户 进 行 认证 ， 
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L2TP 隧道 连接 拨号 也 是 由 LAC 主动 发 起 的 ， 所 以 在 LAC 上 需要 创建 虚拟 拨号 接口 ， 
以 实现 自动 拨号 ， 并 发 起 到 LNS 的 L2TP 连接 。 配 置 时 请 注意 如 下 事项 。 

e。 LAC 作为 PPP 拨号 客户 端 ，VT 接口 的 卫 地 址 可 以 使 用 PPP 协商 从 LNS 自动 获 
取 ， 也 可 以 手动 指定 静态 IP 地 址 。 

e。 LAC 上 VT 接 口 的 拨号 参数 〈 用 户 名 ， 密 码 ， 认 证 方式 ) 需要 和 LNS 保持 一 致 。 

。L2TP 缺 省 情况 下 使 能 隧道 认证 功能 ， 但 未 配置 认证 的 共享 密 钥 。 如 果 使 用 隧道 
认证 功能 ， 则 配置 认证 的 共享 密 钥 ， 且 LAC 和 LNS 保持 一 致 ， 如果 不 使 用 隧道 认证 功 
能 ， 则 LAC 和 LNS 都 需要 去 使 能 隧道 认证 功能 。 

LAC 目 拨号 发 起 L2TP 隧道 连接 方案 的 LAC 具体 配置 步骤 如 表 5-14 所 示 。 
表 S-14 LAC 配置 步骤 


步 又 ”说明 


System-view | 
加 大 人 二 几 
例如 : <Huawei>system-view 进入 系统 视图 


全 局 使 能 L2TP 功能 。 只 有 使 用 本 命令 ，L2TP 










12t bl 
i 功能 才能 使 用 。 如 果 禁 止 L2TP， 则 即使 完成 
A 了 L2TP 的 配置 ， 设 备 也 不 会 提供 L2TP 功能 
interface virtual—template 创建 VT 虚拟 接口 模板 (建立 用 于 L2TP 拨号 
3 vt-number 的 VT 接口 ) ， 并 进入 虚拟 模板 视图 。 参 数 
例如 : [Huawei] interface vt-number 用 来 指定 虚拟 接口 模板 的 编写 , 整数 
virtual-template 10 形式 ， 取 值 范围 是 0 一 1023 
配置 以 上 VT 接口 的 卫 地 址 为 动态 获取 方式 ， 
由 LNS 分 配 IP 地 址 。 还 可 以 选择 使 用 以 下 两 
种 方式 ， 使 接口 IP 协议 生效 。 
e。 使 用 命令 ip address ip-address { mask | mask- 
‘DMA pp nesoliate length }， 配 置 一 个 IP 地 址 ， 使 接口 的 卫 协议 
4 例如 : 例如 : [Huawei-Virtual- 生效 。 
0 Le e 使 用 命令 ip address unnumbered interface- 
fype interface-number， 借 用 其 他 接口 的 他 地址 。 
缺 省 情况 下 ， 接 口 不 通过 PPP 协商 获取 I 地 
址 ,可 用 undo ip address ppp-negotiate 命令 取 
消 接口 通过 PPP 协商 获取 IP 地 址 
ppp pap local-user username 各 当 配 置 VT 接 口 PPP 协 商 的 认证 方式 为 pap 时， 
ota ap i a 站 定 拨号 的 用 户 名 称 和 密码 。 如 果 指定 认证 方 
pp 式 使 用 chap 时 ， 则 需要 执行 如 下 两 条 命令 来 
> 例如 : [Huawei-Virtual- WE 
进行 本 步 配 置 : 
Template10] ppp pap local- 
user winda password simple * .PPP chap user username 
huawei ® ppp chap password { cipher | simple } password 
l2tp-auto-client enable 
6 例如 : [Huawei-Virtual- 使 能 LAC 自 拨 号 功能 ， 使 虚拟 模板 接口 作为 
Template10] 12tp-auto-client L2TP 客户 端 
enable 
配置 接口 的 最 大 传输 单元 值 ， 取 值 必须 不 大 于 
1458。 
1 mtu size > 


缺 省 情况 下 ， 接 口 的 最 大 传输 单位 值 为 1500 
字 节 ， 可 用 undo mtu 命令 用 来 恢复 为 缺 省 值 
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例如 : [Huawei-Virtual- 退回 到 系统 视图 
Template10] quit 
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说 明 








interface interface-type interface- 
number 

例如 : [Huaweil] interface 
gigabitethernet 1/0/1 
ip address ip-address { mask | 
mask-length } 

例如 : [Huawei-Gigabit 
Ethernet1/0/1] ip address 192. 
168.1.1 24 






进入 LAC 设备 连接 用 户 侧 的 物理 接口 视图 












a. 配置 以 上 用 户 侧 物理 接口 的 人 P 地 址 , 作为 远程 
用 户 的 网 关 IP 地 址 









quit 

例如 : [Huawei-Gigabit 退回 到 系统 视图 

Ethernet1/0/1] quit 

12tp-group group-number 创建 L2TP 组 ， 并 进入 L2TP 组 视图 ， 其 他 说 
例如 : [Huawei] 12tp-group 2 明 参 见 5.6.3 节 表 5-6 中 的 第 10 步 


tunnel password { simple | 

cipher } password 配置 L2TP 隧道 的 共享 密 钥 , 需要 和 LNS 保持 
例如 : [Huawei-l2tp2] tunnel 一 致 。 其 他 说 明 参 见 5.6.3 节 表 5-6 的 第 11 步 
password simple huawel 

tunnel name tunnel-name 配置 配置 隧道 名 称 ， 用 于 发 起 L2TP 连接 时 ，LNS 
例如 : [Huawei-l2tp2] tunnel | L2TP 组 | 根据 LAC 的 隧道 名 称 接 入 。 其 他 说 明 参 见 5.6.3 
name lycb 节 表 5-6 的 第 12 步 


start ]2tp { ip ip-address } &< 








1-4> { domain domain-name | 
fullusername user-name } 
例如 : [Huawei-l2tp2] start 
l2tp ip 202.38.168.1 domain 
lycb.com 
start 12tp host hostname 
{ domain domain-name | 
fullusername user-name } 
例如 : [Huawei-l2tp2] start 
l2tp host www.huawei.com 
domain huawel.com 






(二 选 一 ) 配置 对 端 LNS 的 IP 地址、 域名 或 用 
户 全 名 ， 作 为 发 送 控制 消息 的 目的 地 址 ， 其 他 
说 明 参 见 $.6.3 节 表 $-6 第 14 步 











(二 选 一 ) 配置 对 端 LNS 的 域 格式 的 主机 名 
(hostname ) 、 域 名 (domain ) 或 用 户 全 名 
(llusername), 参数 说 明 参 见 前 面 的 start 12tp 


ip 命令 介绍 
















quit 站 

例如 : [Huawei-l2tp2] quit 返回 系统 视图 

interface interface-type interface- 

pr 配置 LAC | 进入 LAC 设备 连接 ISP 网 络 侧 的 物理 接口 视图 





例 如 : [Huawei] interface 公 网 侧 接 
gigabitethernet 2/0/1 口 的 公 网 





ip address ip-address { mask | IP 地 址 
mask-length } 


例如 : [Huawei-Gigabit 配置 LAC 连接 ISP 侧 接 口 的 公 网 IP 地 址 


Ethernet2/0/1] ip address 
a2, 2 L253 


配置 LAC 公 网 到 LNS 公 网 的 IP 路 由 
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5.7.3 LAC 自 拨 号 发 起 L2TP 隧道 连接 的 配置 示例 


如 图 5-48 所 示 ， 某 企业 总 部 在 其 他 城市 设 有 分 文 机 构 ， 且 分 文 机 构 采 用 以 太 网 方 
式 接 入 Internet。 现 企业 总 部 要 为 分 支 机 构 用 户 提供 VPDN 接 入 服务 ， 且 允许 分 文 机 
构 内 的 任意 用 户 接 入 ， 则 LNS 只 需 对 LAC 进行 身份 认证 ， 此 时 可 以 通过 在 LAC 配 
置 自 拨号 的 方式 ， 在 LAC 和 LNS 之 间 建 立 L2TP 连接 。 各 接口 IP 地 址 配置 如 表 5-15 
所 示 。 


GE2/0/0 GE2/0/0 
192.168.10.1/24 192.168.3.1/24 






L2TP 隧道 : PC2 
192.168.10.2/24 


VT1 | 192.168.2.2/24 
192.168.2.1/24 


5-48 ”上 自 拨 号 发 起 L2TP 隧道 连接 组 网 示例 的 拓扑 结构 


表 5-15 各 接口 IP 地 址 配置 
LAC 公 网 侧 接 口 GE1/0/0 LAC 连接 用 户 侧 接口 GE2/0/0 | 192.168.10.1/24 


LNS 公 网 侧 GE1/0/0 202.1.1.1/24 LNS 私 网 侧 接口 GE2/0/0 291.168.3.1/24 


VT1 (远程 用 户 访 问 总 部 


1. 基本 配置 思路 分 析 

本 示例 采用 的 是 LAC 自动 向 LNS 发 起 L2TP 拨号 方式 来 建立 与 LNS 的 L2TP VPN 
连接 ， 与 前 文 介绍 的 LAC 接 入 PPPoE 用 户 发 起 L2TP 隧道 连接 方案 相 比 ，LNS 的 配置 
方法 是 完全 一 样 的， 因为 它们 的 差别 只 是 LNS 所 接受 的 L2TP 是 来 自 LAC 主动 发 起 的 ， 
而 不 是 远程 拨号 用 户 触发 LAC 被 动 发 起 的 (远程 用 户 可 无 需 向 LAC 拨号 )。 故 本 示例 的 
基本 配置 思路 如 下 。 

(1) 在 LAC 上 配置 L2TP 客户 端 功能 ， 使 能 LAC 的 自 拨号 功能 ， 使 其 可 以 主动 癌 
LNS 发 起 L2TP 连接 请 求 ， 经 由 企业 总 部 LNS 认证 成 功 后 建立 隧道 。 

(2) 在 LAC 上 配置 到 达 LNS 的 公 网 路 由 ， 以 便 LAC 主动 发 送 的 L2TP 报 文 能 到 达 
LNS。 

(3) 在 LNS 上 配置 L2TP 功能 及 用 于 验证 LAC 发 送 L2TP 报 文 的 PPP 用 户 ， 同 时 
也 配置 访问 公 网 的 路 由 ， 以 便 LNS 能 与 LAC 进行 通信 。 

2. 配置 LAC 

在 LAC 自 拨号 发 起 L2TP 连接 的 方案 中 ，LAC 的 配置 特别 重要 ， 除 了 与 前 文 介绍 
的 LAC 接 入 呼叫 发 起 L2TP 连接 方案 中 的 基本 L2TP 配置 外 ， 还 需要 配置 L2TP 客户 端 
功能 和 上 自 拨号 功能 。 具 体 的 配置 步骤 如 下 。 
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(1) 配置 公 网 和 私 网 接口 的 卫 地 址 。 


<Huawel> system-view 

[Huawell sysname LAC 

[LAC| interface gigabitethernet 1/0/0 

[LAC-GigabitEthernet1/0/0] ip address 202.1.2.1 255.255.255.0 
[LAC-GigabitEthernet1/0/0] quit 

[LAC | interface gigabitethernet 2/0/0 

[LAC-GigabitEthernet2/0/0] ip address 192.168.10.1 255.255.255.0 
[LAC-GigabitEthernet2/0/0] quit 


(2) 全 局 使 能 L2TP， 并 创建 一 个 L2TP 组 ， 配 置 用 于 向 LNS 发 起 L2TP 拨号 的 本 
地 用 户 账 户 winda (要 与 下 面 所 创建 的 PPP 用 户 账户 名 一 致 )， 建 立 到 达 LNS 的 L2TP 
连接 。 

[LAC] 12tp enable 

[LAC] 12tp-group 1 

[LAC-l2tp1] tunnel name lac #--- 指 定 LAC 端 隧道 名 称 

[LAC-l2tp1] start 12tp ip 202.1.1.1 fullusername winda 


(3) 局 用 通道 验证 并 设置 通道 验证 的 共享 密 钥 (假设 为 huawei)， 要 与 LNS 端的 配 
置 保持 一 致 。 

[LAC-l2tp1] tunnel authentication 

[LAC-l2tpl1] tunnel password simple huawel 

[LAC-12tpl1] quit 


(4) 配置 虚拟 PPP 用 户 的 用 户 账 户 名 和 密码 (假设 分 别 为 winda 和 lycb.com)，PPP 
认证 方式 为 CHAP， 并 指定 获取 IP 地 址 的 方式 。 


[LAC] interface virtual-template | 

[LAC-Virtual-Templatel| ppp chap user winda 

[LAC-Virtual-Templatel| ppp chap password cipher lycb.com 

[LAC-Virtual-Template1] ip address ppp-negotiate #--- 指 定 采 用 由 LNS 为 VT 接口 分 配 IP 地 址 ， 当 然 还 可 以 是 其 他 
两 种 方式 ， 具 体 参见 5.7.2 节 的 表 5-14 的 第 4 步 

[LAC-Virtual-Templatel| quit 


(5) 配置 到 达 LNS 公 网 接口 的 主机 路 由 (以 静态 路 由 为 例 ), 假设 LAC 对 内 设 备 的 
IP 地 址 (下 一 跳 IP 地 址 ) 为 202.1.2.2。 

[LAC] ip route-static 202.1.1.1 255.255.255.255 202.1.2.2 

(6) 配置 LAC 的 L2TP 自 拨号 功能 。 


[LAC| interface virtual-template | 
[LAC-Virtual-Template1] Il2tp-auto-client enable 
[LAC-Virtual-Templatel| quit 


(7) 配置 LAC 到 达 企 业 总 部 私 网 的 路 由 ， 使 得 企业 分 文 机 构 用 户 可 与 总 部 私 网 互 
以 LAC 的 VT 接 口 为 出 接口 。 


[LAC] ip route-static 192.168.3.0 255.255.255.0 virtual-template 1 


Ee 





此 时 VT 接口 运行 的 PPP 协议 ， 所 以 在 配置 静态 路 由 时 仅 需 指定 出 接口 ， 而 不 用 
间 定 下 一 跳 卫 地 址 。 下 同 。 
3 配置 LNS 


在 LAC 自 拨号 发 起 L2TP 连接 的 方案 中 ,LNS 上 的 配置 总 体 上 与 前 文 介绍 的 LAC 
接 入 呼叫 发 起 L2TP 连接 方案 中 的 LNS 配置 一 样 。 结 合 本 示例 实际 ， 具 体 配 置 步骤 
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如 下 。 
(1 ) 配置 LNS 公 网 和 私 网 接口 的 IP 地址 。 


<Huawel> system-view 

[Huawel] sysname LNS 

[LNS] interface gigabitEthernet 1/0/0 

[LNS-GigabitEthernetl/0/0| ip address 202.1.1.1 255.255.255.0 
[LNS-GigabltEthernet1/0/0] quit 

[LNS] interface GigabitEthernet 2/0/0 
[LNS-GigabitEthernet2/0/0| ip address 192.168.2.1 255.255.255.0 
[LNS-GigabitEthernet2/0/0] quit 


(2) 配置 LNS 的 AAA 认证 。 此 处 假设 也 采用 缺 省 ISP 域 default， 缺 省 的 default 
认证 方案 的 本 地 认证 方式 。 所 配置 的 用 户 账户 信息 要 与 LAC 上 配置 的 PPP 用 户 一 致 。 


[LNS] aaa 

[LNS-aaa] local-user winda password cipher lycb.com 
[LNS-aaa] local-user winda service-type ppp 
[LNS-aaal quit 


(3) 配置 LNS 的 IP 地 址 池 , 为 LAC 的 VT 拨号 接口 分 配 与 在 LNS 上 配置 的 VT 接 
口 在 同一 IP 网 段 (192.168.2.0/24) 的 私 网 IP 地 址 。 


[LNS] ip pool 1 

[LNS-ip-pool-1] network 192.168.2.0 mask 24 

[LNS-ip-pool-1] gateway-list 192.168.2.1 

[LNS-IP-pool-1] quit 

(4) 创建 虚拟 接口 模板 ， 并 配置 PPP 协商 等 参数 ， 包 括 配置 用 户 认证 方式 、 为 LAC 
拨号 接口 分 配 IP 地 址 的 地 址 池 ， 并 配置 VT 接口 IP 地 址 ， 作 为 远程 用 户 访问 企业 总 部 
网 络 的 网 天 。 

[LNS] interface virtual-template 1 

[LNS-Virtual-Templatel | ppp authentication-mode chap 

[LNS-Virtual-Templatel] remote address pool 1 

[LNS-Virtual-Templatel | ip address 192.168.2.1 255.255.255.0 

[LNS-Virtual-Templatel| quit 

(5) 使 能 L2TP 服务 ， 创 建 一 个 L2TP 组 。 同 时 配置 LNS 本 端 隧道 名 称 ， 指 定 允 许 
接受 的 对 端 LAC 的 隧道 名 称 。 还 可 根据 需要 启用 隧道 认证 功能 , 并 设置 隧道 认证 的 共享 
密 钥 (与 LAC 站 的 配置 一 致 为 huawei)。 

[LNS] tp enable 

[LNS] 12tp-group 1 

[LNS-l2tpl1j tunnel name lns 

LLNS-l2tp1] alow l2tp virtual-template 1 remote lac 

[LNS-l2tp1] tunnel authentication 

[LNS-l2tp]| tunnel password simple huawei 

[LNS-l12tp1 |] guit 

《6) 配 置 到 达 LAC 的 公 网 主机 路 由 (以 静态 路 由 为 例 ), 假设 对 端 设备 的 IP 地 址 (下 
一 跳 卫 地 址 ) 为 202.1.1.2。 

[LNS] ip route-static 202.1.2.1 255.255.255.255 202.1.1.2 

(7) 配置 LNS 到 达 远 程 分 文 机 构 内 部 的 私 网 路 由 《〈 以 LNS 上 配置 的 VT 接口 作为 
出 接口 ;， 使 得 企业 总 部 网 络 与 企业 分 支 机 构 网 络 可 以 互通 。 

[LNS| ip route-static 192.168.10.0 255.255.255.0 virtual-template 1 


以 上 配置 全 部 完成 后 ， 在 LAC 或 者 LNS 上 执行 display 12tp tunnel 命令 可 看 到 L2TP 
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隆 道 及 会 话 建立 。 由 此 ， 可 实现 分 文 机 构 内 部 用 户主 机 可 与 企业 总 部 的 用 户主 机 互通 。 
以 下 是 在 LNS 上 执行 display 12tp tunnel 命令 的 输出 示例 : 


[LNS] display tp tunnel 
Total tunnel : 1 
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 
1 1 202.1 | 1701 | lac 


5.7.4 ”多 个 LAC 自 拨 号 发 起 L2TP 隧道 连接 配置 示例 


如 图 5-49 所 示 ， 某 企业 总 部 需要 与 多 个 位 于 不 同城 市 的 分 文 机 构建 立 VPN 连接 。 
且 要 求 总 部 为 分 文 用 户 提供 VPDN 接 入 服务 ， 允 许 分 支 内 的 任意 用 户 接 入 ， 即 LNS 只 
需 对 LAC 进行 身份 认证 。 此 时 可 以 通过 在 LAC 端 配置 自 拨号 的 方式 ， 以 实现 在 LAC 
和 LNS 之 间 建 立 L2TP 连接 。 
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5-49 ”多 个 LAC 自 拨号 发 起 L2TP 隧道 连接 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

本 示例 其 实 总 体 上 与 5.7.3 节 示 例 的 配置 思路 是 一 样 的 ， 但 结合 本 示例 实际 ， 在 配 
置 方面 要 注意 以 下 几 个 方面 。 

。 本 示 中 公司 总 部 的 LNS 要 与 多 个 分 支 机 构建 立 L2TP 隧道 ， 所 以 公司 总 部 LNS 
与 各 分 支 机 构 的 LAC 之 间 是 P2MP (点 对 多 点 ) 关系 。 

。 在 一 对 多 的 L2TP 连接 中 ， 各 分 支 机 构 与 公司 总 部 建立 L2TP 隧道 时 的 用 户 认证 
凭据 可 以 相同 ， 也 可 以 不 同 ， 但 隧道 认证 中 的 共享 密 钥 必须 一 样 ， 因 为 在 公司 总 部 中 内 
能 配置 一 个 统一 的 隧道 认证 共享 密 钥 。 

。 为 了 使 大 家 理解 在 实现 分 支 机 构 子 网 与 公司 总 部 子 网 的 路 由 除 可 以 采用 静态 路 
由 进行 配置 外 ， 仍 可 以 采用 动态 路 由 配置 方式 ， 本 示例 将 采用 OSPF 协议 。 但 要 注意 的 
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是 ， 此 时 必须 把 OSPF 网 络 类 型 更 改 为 P2MP 类 型 。 

e。 因为 公司 总 部 所 连接 的 两 个 分 支 机 构 的 卫 地 址 不 在 同一 IP 网 段 ， 为 了 使 公司 总 
部 创建 的 VT 接口 同时 与 两 分 支 机 构 VT 接口 建立 P2MP OSPF 连接 ， 需 要 在 各 LAC 和 
LNS 上 配置 忽略 对 网 络 掩 码 的 检查 。 因 为 缺 省 情况 下 ,，OSPF 需要 对 接收 到 的 Hello 报 文 
做 网 络 掩 码 检 查 ， 当 接收 到 的 Hello 报 文中 携带 的 网 络 掩 码 和 本 设备 不 一 致 时 ， 则 丢弃 
这 个 Hello 报 文 。 

根据 前 面 分 析 ， 可 得 出 本 示例 的 基本 配置 思路 如 下 。 

(1) 在 两 个 分 支 机 构 LAC 上 配置 L2TP 功能 ， 并 分 别 以 用 户 名 winda 和 lycb 癌 LNS 
发 起 一 个 L2TP 拨号 连接 请 求 ， 待 总 部 认证 成 功 后 建立 隧道 。 

(2) 在 两 分 支 机 构 LAC 上 配置 到 达 LNS 公 网 的 静态 路 由 ， 到 达 总 部 子 网 的 OSPF 
私 网 路 由 ， 并 使 能 LAC 的 自 拨号 功能 。 

(3) 在 LNS 上 配置 L2TP 功能 及 用 于 对 分 文 机 构 用 户 进行 认证 的 PPP 用 户 ， 并 配置 
到 达 LAC 公 网 的 静态 路 由 和 到 达 两 分 文 机 构 私 网 的 OSPF 路 由 。 

2. LAC 的 具体 配置 步骤 

(1) 根据 图 中 标识 ， 配 置 两 分 支 机 构 LAC 的 接口 PP 地 址 。 


<Huawel> System-view 

[Huawei] sysname LAC 1 

[LAC 1| interface gigabitethernet 1/0/0 

[LAC 1-GigabitEthernet1/0/0] ip address 1.1.2.1 255.255.255.0 
[LAC 1-GigabitEthernet1/0/0] quit 

[LAC 1| interface gigabitethernet 2/0/0 

[LAC 1-GigabitEthernet2/0/0|] ip address 10.1.10.1 255.255.255.0 
[LAC 1-GigabitEthernet2/0/0] quit 


<Huawel> system-view 
[Huaweil] sysname LAC 2 
[LAC 2] interface gigabitethernet 1/0/0 
[LAC 2-GigabitEthernet1/0/0] ip address 1.1.3.1 255.255.255.0 

[LAC 2-GigabitEthernet1/0/0] quit 
[LAC 2] interface gigabitethernet 2/0/0 
[LAC 2-GigabitEthernet2/0/0] ip address 10.1.20.1 255.255.255.0 
[LAC 2-GigabitEthernet2/0/0] quit 
(2) 在 两 分 支 机 构 LAC 上 全 局 使 能 L2TP， 创 建 一 个 L2TP 组 并 配置 发 起 L2TP 连 

接 的 用 户 名 分 别 为 winda 和 lycb， 隧 道 认 证 的 共享 密 钥 假设 均 为 huawei。 
[LAC 1] Btp enable 
[LAC 1] 12tp-group 1 #--- 创 建 一 个 L2TP 拨号 组 1 
[LAC _1-12tp1] tunnel name lac 1 #--- 指 定 本 端 隧道 名 为 lac_1 
”LAC 1-l2tp1] start 12tp ip 1.1.1.1 fullusername winda #--- 指 定 以 winda 完整 名 称 对 LSN 发 起 L2TP 拨号 连接 请 求 
[LAC 1-12tp1] tunnel authentication #--- 启 用 隧道 认证 功能 
[LAC 1-D2tp1] tunnel password cipher huawei ”#--- 指 定 隧道 认证 的 共享 密 钥 为 huawei 
[LAC 1-12tp1] quit 


[LAC 2] 12tp enable 
[LAC 2 l2tp-group 1 
\ [LAC 2-l2tp1] tunnel name lac 2 
[LAC 2-12tp1] start Dtp ip 1.1.1.1 fullusername lycb 
[LAC 2-Dtp1] tunnel authentication 
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[LAC 2-l2tpl| tunnel password cipher huawel 
[LAC 2-l2tp1] quit 


(3) 在 两 分 文 机 构 LAC 上 创建 虚拟 模板 ， 并 指定 其 IP 地 址 由 LNS 问 分 配 ， 均 采用 
CHAP 认证 (需要 分 别 指定 CHAP 认证 用 户 名 和 密码 ， 需 要 在 LNS 上 创建 )。 


[LAC 1|interface virtual-template 1 

[LAC 1-Virtual-Templatel] ppp chap user wnda #--- 指 定 用 于 CHAP 认证 的 用 户 名 为 winda 

[LAC 1-Virtual-Template1] ppp chap password cipher 1234@huawei #--- 指 定 winda 用 户 的 认证 密码 为 1234@huawei 
[LAC 1-Virtual-Template1] ip address ppp-negotiate #--- 指 定 VT1 接口 的 卫 地 址 由 对 端 分 配 

[LAC 1-Virtual-Template1] ospf p2mp-mask-ignore #--- 指 定 在 P2MP 网 络 上 忽略 对 网 络 掩 码 的 检查 

[LAC 1-Virtual-Templatel|] quit 


[LAC 2| interface virtual-template 1 

[LAC 2-Virtual-Templatel|] ppp chap user lycb 

[LAC 2-Virtual-Templatel| ppp chap password cipher 5678@huawei 
[LAC 2-Virtual-Templatel| ip address ppp-negotiate 

[LAC 2-Virtual-Templatel| ospf p2mp-mask-ignore 

[LAC 2-Virtual-Template1] quit 





OSPF 需要 对 接收 到 的 Hello 报 文 做 网 络 掩 码 检查 ， 当 接收 到 的 Hello 报 文中 携带 
的 网 络 掩 码 和 本 设备 不 一 致 时 ， 则 丢弃 这 个 'Hello 报 文 。 在 P2MP 网 络 上 ， 当 设备 的 掩 
码 长 度 不 一 致 时 ,使 用 0sSpf p2mp-mask-ignore 命令 急 略 对 Hello 报 文中 网 络 掩 码 的 检查 ， 
从 而 可 以 正常 建立 OSPF 邻居 关系 。 当 对 网 络 安 全 要 求 较 高 时 ， 请 执行 undo ospf p2mp- 
mask-ignore 命令 ， 使 能 在 P2MP 网 络 上 对 网 络 掩 码 检 查 的 功能 。 


(4) 在 两 个 分 支 机 构 LAC 上 VT 接口 配置 触发 目 拨号 建立 L2TP 隧道 


[LAC _ 1] interface virtual-template 1 
[LAC 1-Virtual-Template1] 12tp-auto-client enable #--- 启 用 触发 自动 L2TP 拨号 功能 客户 端 功能 
[LAC 1-Virtual-Templatel| quit 


[LAC 2] interface virtual-template 1 

[LAC 2-Virtual-Template1] 12tp-auto-client enable 

[LAC 2-Virtual-Template1] quit 

(5) 配置 两 分 支 机 构 LAC 到 达 LNS 公 网 的 路 由 ,假设 下 一 跳 IP 地 址 分 别 为 1.1.2.2、 
Ys 

[LAC 1] ip route-static 1.1.1.1 255.255.255.255 1.1.2.2 


[LAC 2] ip route-static 1.1.1.1 255.255.255.255 1.1.3.2 


(6) 配置 两 个 分 支 机 构 LAC 到 达 总 部 子 网 的 OSPF 路 由 , 使 得 两 分 文 机 构 私 网 与 总 
部 私 网 互通 。 

[LAC 1|] ospf 10 

[LAC 1-ospf10] area 0 

[LAC 1-ospf10-area-0.0.0.0] network 10.1.1.0 0.0.0.255 

[LAC 1-ospf-10-area-0.0.0.0] network 10.1.10.0 0.0.0.255 

[LAC 1-ospf-10-area-0.0.0.0] quit 

[LAC 1-ospf-10] quit 


[LAC 2] ospf 10 
[LAC 2-ospf-10] area 0 
[LAC 2-0spf-10-area-0.0.0.0] network 10.1.1.0 0.0.0.255 
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[LAC 2-ospf-10-area-0.0.0.0] network 10.1.20.0 0.0.0.255 
[LAC 2-0spf-10-area-0.0.0.0] quit 

[LAC 2-0spf-10] quit 

3. LNS 的 配置 


(1) 配置 LNS 的 接口 IP 地 址 。 


<Huawel> system-view 

[Huawel]l sysname LNS 

[LNS] interface gigabitethernet 1/0/0 
[LNS-GigabitEthernet1/0/0] ip address 1.1.1.1 255.255.255.0 
[LNS-GigabitEthernet1/0/0] quit 

[LNS] interface gigabitethernet 2/0/0 
[LNS-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[LNS-GigabitEthernet2/0/0] quit 


(2) 配置 LNS 的 AAA 认证 ,分 别 为 两 分 支 机 构 创 建 两 个 用 户 : winda、lycb， 密 但 
分 别 为 1234@huawei、5678@huawei， 必 须 与 对 应 的 LAC 上 配置 的 CHAP 认证 先 据 
rm 

[LNS|] aaa 

[LNS-aaal| local-user winda password cipher 1234@huawei 

[LNS-aaal| local-user winda service-type ppp 

[LNS-aaa] local-user lycb password cipher $678(@huawel 

[LNS-aaal local-user lycb service-type ppp 

[LNS-aaal quit 

(3) 配置 LNS 的 卫 地 址 池 ， 用 于 为 LAC 的 拨号 VT 接口 分 配 IP 地 址 。 所 分 配 的 
IP 地 址 必须 与 LNS 的 VT 接口 的 卫 地 址 在 同一 网 段 ， 并 且 地 址 池 的 网 关 即 LNS 的 VT 


接口 耻 地 址 。 


[LNS] ip pool ] 

[LNS-ip-pool-1| network 10.1.1.0 mask 24 
[LNS-ip-pool-1|] gateway-list 10.1.1.1 
[LNS-ip-pool-1] quit 


(4) 创建 虚拟 接口 模板 IP 地 址 、 认 证 方式 、OSPF 类 型 (此 处 为 PZ2MP) 并 配置 PPP 
协商 等 参数 。 

[LNS| interface virtual-template 1 

[LNS-Virtual-Template1] ppp authentication-mode chap #-- 指 定 采用 PPP CHAP 认证 方式 

[LNS-Virtual-Template1] remote address pool 1 #-- 指 定 为 远程 PPP 用 户 分 配 IP 地 址 所 用 的 地 址 池 为 名 为 1 的 地 址 池 

[LNS-Virtual-Templatel | ip address 10.1.1.1 255.255.255.0 

[LNS-Virtual-Template1] ospf network-type p2mp #--- 指 定 OSPF 的 网 络 类 型 为 P2MP (一 对 多 的 PPP 连接 ) 

[LNS-Virtual-Template1] ospf p2mp-mask-ignore #--- 指 定 忽略 IP 地 址 中 的 子 网 掩 码 检查 

[LNS-Virtual-Templatel | quit 

(5) 使 能 L2TP 服务 ， 创 建 一 个 L2TP 组 ， 配 置 本 端 隧道 名 ， 以 及 与 两 分 文 机 构建 
立 L2TP 隧道 的 共享 密 钥 (两 分 支 机 构 LAC 必须 使 用 相同 的 共享 密 钥 与 LNS 建立 L2TP 
隧道 )。 

[LNS] I2tp enable 

[LNS] 12tp-group 1 #-- 创 建 序号 为 1 的 L2TP 组 

[LNS-l2tp1] tunnel name Ins 

[LNS-12tp1] allow 12tp virtual-template 1 #--- 指 定 允 许 VTI1 接口 接 入 L2TP 拨号 请 求 

[LNS-l2tp1] tunnel authentication 

[LNS-l2tp1] tunnel password cipher huawel 

[LNS-l2tp1] quit 


(6) 配置 到 达 两 分 文 机 构 LAC 公 网 的 静态 路 由 (假设 下 一 跳 IP 地址 为 1.1.1.2)， 以 
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及 总 部 子 网 与 两 分 支 机 构 子 网 互通 的 OSPF 路 由 。 
[LNS| ip route-static 1.1.2.1 255.255.255.255 1.1.1.2 
[LNS| ip route-static 1.1.3.1 255.255.255.255 1.1.1.2 
[LNS] ospf 10 
[LNS-ospf-10] area 0 
[LNS-ospf-10-area-0.0.0.0] network 10.1.1.0 0.0.0.255 
[LNS-ospf-10-area-0.0.0.0|] network 10.1.2.0 0.0.0.255 
[LNS-ospf-10-area-0.0.0.0] quit 
[LNS-ospf-10] quit 
4. 配置 结果 验证 
完成 以 上 配置 后 ,可 在 LAC 或 者 LNS 上 执行 display 12tp tunnel 命令 查看 L2TP 会 
话 连 接 和 所 建立 的 L2TP 隧道 信息 。 以 下 在 LNS 上 执行 本 命令 的 输出 示例 : 
[LNSj display 12tp tunnel 
Total tunnel : 2 
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 


1 1 1.1.2.1 1701 | lac 1 
2 1 L113.1 i1701 |! lac 2 


如 果 以 上 信息 完全 , 则 位 于 两 分 支 机 构 私 网 的 主机 PC1 和 PC3 分 别 可 以 与 位 于 企业 
总 部 私 网 中 的 主机 PC2 互通 。 


5.8 ”配置 L2TP 其 他 可 选 功能 


在 各 种 L2TP 隧道 建立 的 过 程 中 ， 除 了 前 面 介 绍 的 一 些 必 选 功能 配置 外 ， 还 可 配置 
L2TP 的 可 选 功能 ， 例 如 LCP 重 协 商 、AVP 参数 加 密 、L2TP 隧道 连通 性 等 ,用户 可 以 选 
择 配 置 ， 更 好 的 保证 L2TP 业务 。 但 在 配置 L2TP 的 这 些 可 选 功能 之 前 ， 需 完成 L2TP 基 
本 配置 ， 在 LAC 和 LNS 之 间 建 立 L2TP 连接 。 

1. 配置 LCP 重 协商 

在 LAC 接 入 呼叫 发 起 L2TP 隧道 连接 的 应 用 中 ，LAC 需 对 接 入 用 户 认 证 ， 认 证 通 
过 后 将 认证 信息 发 送 给 LNS，LNS 根据 认证 信息 判断 用 户 是 否 合法 。 此 时 ， 如 果 LNS 
不 信任 LAC (在 LSN 端 没 有 明确 允许 指定 的 LAC 隧道 建立 请 求 通过 )， 需 要 对 远程 用 
户 二 次 认证 ， 则 可 以 使 用 LCP 重 协商 功能 ， 使 LNS 直接 与 远程 用 户 重 新 开始 PPP 协商 
(不 再 是 与 LAC 进行 PPP 协商 )， 协 商 成 功 后 就 可 以 建立 L2TP 连接 。 





LCP 重 协商 和 下 面 将 要 介绍 的 CHAP 强制 认证 不 能 同时 生效 ，LCP 重 协 商 优先 
级 高 于 CHAP 强制 认证 ， 如 果 同 时 配置 ， 则 设备 进行 LCP 重 协 商 。 

配置 LNS 的 LCP 重 协 商 的 方法 很 简单 ， 就 是 在 L2TP 组 视图 下 执行 mandatory-lcp 
命令 ， 以 启用 LCP 重 协商 功 能 。 

2. 配置 强制 CHAP 认证 

在 LNS 收 到 LAC 所 传递 的 认证 信息 后 ， 如 果 LNS 对 安全 性 要 求 较 高 ,， 可 使 用 强制 
CHAP 认证 功能 ，LNS 只 对 远程 用 户 进行 CHAP 认证 。 但 如 果 此 时 LAC 使 用 了 PAP 的 
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认证 方式 ， 就 无 法 通过 LNS 的 认证 ， 不 能 建立 L2TP 会 话 。 

配置 LNS 的 强制 CHAP 认证 的 步骤 也 很 简单 ， 也 是 在 L2TP 组 视图 执行 mandatory- 
chap 命令 即 可 ， 以 启用 强制 CHAP 认证 功能 。 

3. 配置 主 备 LNS 

对 可 靠 性 要 求 较 高 的 企业 ， 在 总 部 部 署 双 网 关 ， 一 主 一 备 。 当 主 网 关 故 障 时 ， 业 务 
可 切换 到 备份 网 关 ， 可 在 LAC 上 同时 配置 总 部 备份 网 关 的 卫 地 址 ， 如 图 5-50 所 示 。 这 
时 ， 当 LAC 发 起 的 L2TP 连接 请 求 无 法 到 达 主 LNS 时 ， 按 配置 的 顺序 同 第 二 个 LNS 地 
址 发 起 L2TP 连接 请 求 ， 这 样 也 相当 于 在 LAC 上 实现 LNS 的 主 备 功能 。 


LAC 





5-50” 主 备 LNS 示意 图 


在 LAC 上 配置 主 备 LNS 的 步骤 也 是 在 L2TP 视图 下 进行 的 ， 通 过 start 12tp ip ip- 
address &<1-4> { domain domain-name | fullusername user-name } 命 令 进 行 配 置 ， 最 多 可 
配置 4 个 LNS 的 卫 地 址 ， 第 一 个 为 主 LNS 地 址 ， 其 余 都 是 备份 LNS 地 址 。 

4. 配置 AVP 参数 加 密 

L2TP 连接 的 建立 是 通过 在 LAC 和 LNS 之 间 交 换 控 制 消息 , 而 控制 消息 中 携带 了 各 
种 AVP (Attribute Value Pair， 属 性 值 对 ) 参数 ， 包 含 了 用 户 名 、 密 码 等 关键 信息 。 此 时 
通过 部 署 AVP 参数 加 密 功 能 ， 在 L2TP 连接 建立 期 间 ， 对 所 传输 的 AVP 参数 加 密 ， 提 
高 安全 性 。 但 在 部 署 AVP 参数 加 密 功 能 时 ， 需 要 先 在 LAC 和 LNS 端 同时 使 能 隧道 验证 
功能 ， 且 隧道 两 端 配置 的 认证 共享 密 钥 需 要 一 致 。 

配置 AVP 参数 加 密 功 能 的 步骤 如 表 5-16 所 示 。 









表 S-16 AVP 参数 加 密 功能 的 配置 步骤 


system-view = | 
例如 : <Huawei>system-view 进入 系统 视图 
12tp-group group-number 
L2TP 组 视 
例如 : [Huawei] 12tp-group 1 进入 得 视图 
tunnel authentication 
能 L2TP 隧道 认证 功能 ， 缺 省 已 使 能 
例如 : [Huawei-l2tp1] tunnel authentication 使 能 降 道 认证 功能 ， 缺 省 已 使 能 


tunnel password { simple | cipher } password | 配置 隧道 认证 字 ， 除 了 隧道 认证 ,还 可 以 用 












例如 : [Huawei-l2tp-1] tunnel password simple | 于 加 密 AVP 参数 。 参 数 说 明 请 参见 本 章 
huawei 本 2.6.3 节 表 5-6 中 的 第 10 步 
5 | unnelayp-hidden 1 对 L2TP 报 文 中 的 AVP 参数 加 密 , 提高 安全 


例如 : [Huawei-l2tp-1] tunnel avp-hidden 性 
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5. 配置 L2TP 隧道 连通 性 检测 参数 

Hello 报 文 用 于 检测 LAC 和 LNS 之 间 隧 道 的 连通 性 ，LAC 和 LNS 都 可 以 定时 问 对 
方 发 送 Hello 报 文 ， 若 在 一 段 时 间 内 未 收 到 Hello 报 文 的 应 答 ， 则 重复 发 送 Hello 报 文 。 
如 果 重 复发 送 报 文 的 次 数 超过 5 次 ， 则 断 开 L2TP 隧道 连接 。 企 业 可 以 根据 实际 需要 ， 
部 署 Hello 报 文 的 时 间 参 数 。 

如 果 网 络 稳定 ， 则 可 以 加 长 Hello 报 文 的 发 送 时 间 间 隅 ， 减 轻 网 络 负 担 。 如 条 网 络 
不 稳定 , 则 可 以 减少 Hello 报 文 的 发 送 时 间 间 隔 , 以 便 能 及 时 检测 隧道 的 状态 。 如果 LAC 
上 配置 了 主 备 LNS 地 址 , 当 使 用 Hello 报 文 检测 到 隧道 不 通 时 , 目 动 癌 配置 的 第 二 个 LNS 
的 IP 地址 发 起 L2TP 连接 请 求 。 

另外 ， 当 LAC 和 某 个 LNS 尝试 建立 隧道 时 发 现 无 法 与 该 LNS 进行 建立 ， 可 以 将 该 
LNS 标记 为 不 可 用 ， 并 在 一 段 时 间 ( 称 为 LNS 锁定 时 间 ) 内 不 再 使 用 该 LNS 建立 隧道 
直到 LNS 锁定 期 结束 ， 设 备 才 尝试 重新 和 该 LNS 建立 隧道 。 

配置 L2TP 隧道 连通 性 检测 参数 的 步骤 如 表 5-17 所 示 。 除 了 第 5 步 需 在 LAC 上 执 
行 外 ， 其 他 各 步 均 需 要 在 LAC 和 LNS 同时 配置 。 


表 5-17 L2TP 了 过 注 证 和 
步骤 命令 2 说 明 


System-view 


进入 系统 视图 


例如 : <Huawei>system-view 


12tp-group group-number 
2 L2TP 组 视 
例如 : [Huawei] 12tp-group 1 进入 昌 视 岁 


配置 Hello 报 文 的 发 送 时 间 间 隔 。 参 数 interval 用 于 指 





tunnel timer hello interval 定 周期 性 发 送 Hello 报 文 的 时 间 间 隔 ， 整 数 形 式 ， 取 值 
3 “| 例如 : [Huawei-l2tp1] tunnel timer | 范围 是 0 一 1000， 单 位 是 秒 。 如 果 取 值 为 0， 则 表示 不 
hello 100 发 送 Hello 报 文 。 缺 省 情况 下 ，Hello 报 文 每 隔 60s 发 
送 一 次 
PO 返回 系统 视图 


例如 : [Huawei-l2tp-1] quit 

配置 LNS 锁定 时 间 。 参 数 time 用 来 指定 LNS 锁定 时 间 ， 
整数 形式 ， 取 值 范 围 是 1 一 3600， 单 位 为 秒 。 缺 省 情 识 
下 ，LNS 锁定 时 间 为 30s 


12tp aging time 


例如 : [Huawei] 12tp aging 60 





5.9 L2TP over IPSec 的 配置 与 管理 


通过 前 文 介 绍 ， 我 们 学 到 L2TP VPN 通信 的 安全 性 不 是 很 强 ， 只 提供 了 静态 密 侈 
式 的 用 户 身份 认证 和 隧道 认证 ， 并 没有 为 隧道 中 传输 的 数据 提供 加 密 功 能 ， 这 时 殉 可 
以 倍 助 我 们 在 本 书 前 文 已 介绍 的 下 Sec 安全 功能 进行 解决 。 当 然 此 时 IPSee 并 不 是 直接 
的 IPSec VPN 应 用 了 ， 而 是 在 为 L2TP VPN 提供 安全 保护 ， 即 通常 所 说 的 L2TP over 
IPsec。 
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5.9.1 L2TP over IPSec 封装 原理 


通过 前 文 L2TP VPN 内 容 的 学 习 ， 当 移动 办 公用 户 或 分 支 机 构 用 户 需 要 与 公司 总 部 
通信 时 ， 可 使 用 L2TP 功能 建立 VPDN 连接 ， 总 部 部 署 为 LNS 对 接 入 的 用 户 进 行 认证 。 
但 当 终 端 用 户 需 要 向 总 部 传输 高 机 密 信 息 时 ，L2TP 无 法 为 报 文 传输 提供 足够 的 保护 ， 
这 时 也 可 以 与 IPSec 功能 结合 使 用 ,通过 L2TP over IPSec 方案 保护 终端 用 户 所 传输 的 数 
据 报 文 。L2TP over IPSec 既 可 以 用 于 分 支 机 构 接 入 公司 总 部 , 也 可 以 用 于 移动 办 公 员 工 
接 入 公司 总 部 。 

L2TP over IPSec， 即 先 用 L2TP 封装 报 文 再 用 了 PSec 封装 ， 这 样 可 以 综合 两 种 VPN 
的 优势 ,通过 L2TP 实现 用 户 验 证 和 地 址 分 配 , 并 利用 IPSec 保障 通信 的 安全 性 。.L2TP over 
IPSec 既 可 以 用 于 分 支 机 构 接 入 公司 总 部 ， 也 可 以 用 于 移动 办 公 工 员工 接 入 公司 总 部 。 
这 种 方式 IPSec 功能 会 对 所 有 源 地 址 为 LAC (如 果 是 移动 办 公 员 工 通过 此 方案 接 入 公司 
总 部 的 话 ， 则 LAC 就 是 安装 了 L2TP 拨号 软件 的 用 户主 机 )、 目 的 地 址 为 LNS 的 报 文 进 
行 保护 。 

如 果 是 出 差 员 工 采 用 L2TP over IPSec 方案 接 入 公司 总 部 , 则 需要 在 移动 办 公用 户 的 
PC 终端 上 运行 L2TP 拨号 软件 ， 将 数据 报 文 先进 行 L2TP 封 效 ， 再 进行 IPSec 封 疾 ， 发 
往 总 部 。 在 总 部 网 关 ， 部 署 IPSec 策略 ， 最 终 还 原 数据 ， 其 基本 网 络 结构 和 数据 封装 次 
序 如 图 5-51 所 示 。IPSec 保护 从 L2TP 的 起 点 到 L2TP 的 终点 数据 流 。 


出 差 用 户 
(L2TP+IPSec 


拨号 软件 ) 






图 5-51 L2TP over IPSec 方案 网 络 结构 示意 图 


通过 5.2.2 节 的 学 习 我 们 已 经 知道 ， 在 L2TP 封装 过 程 中 会 增加 一 个 卫 报头 ， 其 源 
IP 地 址 为 L2TP 起 点 地 址 ， 目 的 卫 地 址 为 L2TP 终点 的 地 址 。 封 装 好 的 L2TP 报 文 需要 
再 通过 IPSec 进行 封装 ， 此 时 要 考虑 IPSec 的 两 种 不 同 封 装 模 式 了 ， 传 输 模 式 是 不 会 再 
新 增 卫 报头 的 ， 但 隧道 模式 会 再 新 增 一 个 IP 报头 : 增加 的 了 报头 源 地 址 为 IPSec 网 关 
应 用 IPSec 安全 策略 的 接口 IP 地 址 ， 目 的 地 址 即 IPSec 对 等 体 中 应 用 IPSec 安全 策略 的 
接口 IP 地 址 ， 如 图 5-52 所 示 。 所 以 隧道 模式 会 导致 报 文 长 度 更 长 ， 更 容易 导致 分 片 ， 
推荐 采用 传输 模式 L2TP over IPSec。 

出 差 用 户 远 程 接 入 总 部 网 络 的 组 网 中 L2TP over IPSec 的 协商 顺序 和 报 文 封装 顺序 
跟 分 支 接 入 总 部 网 络 的 组 网 中 的 协商 顺序 和 报 文 封装 顺序 是 一 样 的 。 所 不 同 的 是 出 差 用 
户 远程 接 入 总 部 网 络 的 组 网 中 ， 用 户 侧 的 L2TP 和 IPSec 封装 是 在 客户 端 主机 上 完成 的 。 
此 时 ，L2TP 起 点 的 地 址 为 客户 端 主机 将 要 获取 的 内 网 地 址 〈 此 地 址 可 以 是 静态 配置 的 ， 
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也 可 以 是 从 LNS 上 配置 的 IP 地 址 池 中 动态 获取 的 )，L2TP 终点 地 址 为 LNS 入 接口 的 
地 址 。 











~ | 
一 / 本 > 天 N\ 

本 pep 1 L2TP 封装 、， i 

Po a L2TP 解 封装 、| ”数据 一 





2. IPSec 封装 
1.L2TP 封装 传输 模式 


-一 一 一 数据 流 方向 
回报 文 





| 
| 
| 
| 
| 
| 
| 
| 
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| 
| 
| 
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| 
| 
L2TP 封装 添加 
| IPSec 封装 添加 

sa 


图 5-52 ”L2TP over IPSec 数据 报 文 封装 和 解 封装 流程 图 


但 在 出 差 用 户 远 程 接 入 总 部 网 络 的 情形 中 ，L2TP 的 LAC， 以 及 IPSec 的 一 个 端点 
均 为 终端 用 户主 机 了 ， 这 里 需要 创建 一 个 L2TP 拨号 连接 ， 在 VPN 类 型 中 要 选择 “使 用 
IPSec 的 第 二 层 隧 道 协 议 (L2TP/IPSec)” 选 项 ， 如 图 5-53 所 示 。 
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站 EL2TP VPN 连接 尾 性 


常规 《选项 安全 网络 共享 
VPN 类型 站): 


I 


= 。 
这 对 点 省 于 协议 (PPTBP) 


i 





仿 ) 允许 使 用 这 些 协 议 {P) 


加 未 加 密 的 密码 (PAP})(U) 
加 | 质询 握手 身份 验证 协议 (CHAP)(H) 
回 Microso CHAP Version 2 (MS-CHAP v2) 


口 ] 生动 使 用 我 的 Windows 登录 名 称 和 密码 (及 域 ， 如果 
有 ]} 公 ) 





| 
图 5-53 ”Windows 系统 中 主机 中 的 L2TP over IPSec VPN 类 型 选择 


5.9.2 分支 与 总 部 通过 L2TP Over IPSec 方式 实现 安全 互通 配置 示例 


如 图 5-54 所 示 ，LAC 为 企业 分 支 机 构 网 关 ，LNS 为 企业 总 部 网 基 ， 分 文通 过 LAC 
自 拨号 的 方式 与 总 部 建立 L2TP 隧道 实现 互通 。 现 企业 希望 通过 L2TP 隧道 传输 的 业务 
进行 安全 保护 ， 防 止 被 锁 取 或 算 改 等 。 此 时 ， 可 以 配置 L2TP over IPSec 的 方式 来 加 密 保 
护 企 业 分 支 和 总 部 的 业务 。 


GE2/0/0 GE2/0/0 
10.1.10.1/24 10.1.2.1/24 






LAC 






GE1/0/0 


GE1/0/0 ”LNS 
1.1.2.1/24 


1.1.1.1/24 







Internet 


: L2TP over IPSec 区 : PC2 
10.1.10.2/24 : 


VTI1 10.1.2.2/24 
10.1.1.1/24 


图 5-54 分支 机 构 与 总 部 通过 L2TP Over IPSec 方式 实现 安全 互通 配置 示例 的 拓扑 结构 
1. 基本 配置 思路 分 析 
本 示例 与 本 章 前 文 介 绍 的 L2TP VPN 示例 相 比 ， 最 大 的 不 同 是 同时 结合 中 L2TP 和 
IPSec 两 项 隧道 技术 ， 这 也 使 得 本 示例 的 配置 了 比 起 前 文 单独 L2TP VPN 方案 屿 管 安 复 
杂 一 些 。 此 时 还 需要 在 LAC 和 LNS 公 网 侧 接口 上 应 用 IPSec 策略 ， 为 通过 这 些 接口 发 
送 的 数据 提供 安全 保护 功能 。 为 了 能 使 大 家 看 得 更 明白 ， 下 面 就 分 别 从 L2TP 和 IPSec 
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来 介绍 本 示例 所 需要 的 配置 任务 。 

(1) L2TP 方面 的 配置 

QD 在 LAC 和 LNS 上 配置 接口 的 IP 地 址 ， 以 及 到 达 对 端 公 网 的 静态 路 由 ， 保 证 两 
问 路 由 可 达 。 

@ 在 LAC 上 配置 L2TP 功能 ， 使 能 LAC 的 自 拨号 功能 ，PPP 用 户 通 过 L2TP 隧道 
回 总 部 发 出 接 入 请 求 ， 总 部 认证 成 功 后 建立 隧道 。 

G@) 在 LNS 上 配置 L2TP 功能 (包括 用 于 为 LAC 端 VT 接口 分 配 IP 地 址 的 IP 地 址 
池 ) 及 了 PPP 用 户 ， 啊 应 LAC 的 L2TP 的 拨号 请 求 。 

(2) IPSec 方面 的 配置 

J 在 LAC 和 LNS 上 配置 ACL， 以 定义 需要 由 IPSec 保护 的 两 端子 网 通信 的 数据 流 。 

Oo 在 LAC 和 LNS 上 配置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 。 采 用 共享 密 钥 
认证 方法 。 

@) 在 LAC 和 LNS 上 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属性 。 

4) 在 LAC 和 LNS 上 配置 安全 策略 ， 并 引用 ACL、IPSec 安全 提议 和 IKE 对 等 体 ， 
确定 对 何 种 数据 流 采 取 何 种 保护 方法 。 

@ 在 LAC 和 LNS 接口 上 应 用 安全 策略 组 ， 使 接口 具有 IPSec 的 保护 功能 。 

【经 验 提 示 】 在 L2TP over IPSec 具体 配置 方法 方面 ， 许 多 朋友 觉得 无 从 下 手 ， 其 实 
总 体 上 就 是 分 别 在 LAC 和 LNS 设备 配置 L2TP、IPSec， 然 后 再 在 同一 个 公 网 接口 上 应 
用 这 两 方面 配置 即 可 。 但 要 注意 的 是 ， 如 果 是 Client-Initiated 模式 的 远程 移动 办 公用 户 
与 企业 总 部 的 连接 ， 并且 启 用 了 隧道 认证 功能 ， 则 在 LNS 上 配置 的 L2TP 隧道 认证 共享 
密 钥 和 IPSec 隧道 认证 预 共享 密 钥 必须 一 致 ， 因 为 像 在 Windows 系统 中 的 L2TP/IPSec 
客户 端 主机 上 创建 的 L2TP 连接 中 只 能 配置 一 个 隧道 共享 密 钥 。 但 如 果 是 站 点 到 站 点 的 
连接 (如 本 示例 ), 则 在 LAC 和 LNS 上 配置 的 这 两 个 共享 密 钥 可 以 一 致 ,也 可 以 不 一 致 。 

2.L2TP 方面 的 配置 步骤 

(1) 配置 LAC 和 LNS 的 各 接口 卫 地 址 和 到 对 端 公 网 的 静态 路 由 。 

# 在 LAC 上 配置 各 接口 的 卫 地 址 。 


<Huawel> system-view 

[Huawei| sysname LAC 

[LAC] interface gigabitethernet 1/0/0 
[LAC-GigabitEthernet1/0/0] ip address 1.1.2.1 255.255.255.0 
[LAC-GigabitEthernet1/0/0] quit 

[LAC | interface gigabitethernet 2/0/0 
[LAC-GigabitEthernet2/0/0] ip address 10.1.10.1 255.255.255.0 
[LAC-GigabitEthernet2/0/0] quit 


# 在 LAC 上 配置 公 网 路 由 实现 和 LNS 路 由 可 达 。 以 静态 路 由 为 例 ， 假 设 下 一 跳 卫 
地 址 (LAC 端 ISP 设备 连接 LAC 的 接口 的 IP 地 址 ) 为 1.1.2.2。 
[LAC!] ip route-static 1.1.1.1 24 1.1.2.2 


# 在 LNS 上 配置 接口 的 IP 地 址 。 


<Huawel> system-view 

[Huawei| sysname LNS 

[LNS| interface gigabitEthernet 1/0/0 、 
[LNS-GigabitEthernetl/0/0| ip address 1.1.1.1 255.255.255.0 
[LNS-GigabitEthernet1/0/0] quit 
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[LNS] interface gigabitEthernet 2/0/0 
[LNS-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.253.0 
[LNS-GigablitEthernet2/0/0] quit 


# 在 LNS 上 配置 公 网 路 由 实现 和 LAC 路 由 可 达 。 以 静态 路 由 为 例 ， 假 设 下 一 跳 IP 
地 址 (LNS 端 ISP 设备 连接 LNS 的 接口 的 IP 地 址 ) 为 1.1.1.2。 


[LNS] ip route-static 1.1.2.1 255.255.25S5011.1.2 
(2) 配置 LAC 和 LNS 的 L2TP 功能 。 


# 在 LAC 上 全 局 使 能 L2TP， 创 建 一 个 L2TP 组 并 配置 通过 名 为 winda 的 用 户 建立 
到 达 LNS 的 L2TP 连接 (需要 在 LSN 上 配置 相同 的 用 户 账 户 )， 隧 道 认 证 的 共享 密 钥 为 
huawei〈 两 端 配 置 要 一 致 )。 


[LAC] Rtp enable 

[LAC] tp-group 1 

[LAC-l2tp1] tunnel name lac ”#-- 配 置 本 端 隧道 名 为 lac 

[LAC-l2tp1] start 12tp ip 1.1.1.1 fullusername winda #--- 配 置 允 许 以 用 户 名 winda 向 LNS 发 起 L2TP 拨号 
[LAC-l2tp1] tunnel authentication #--- 启 用 隧道 认证 功能 

[LAC-l2tp1] tunnel password cipher huawei #-- -配置 隧道 认证 的 共享 密 铀 为 huawei 

[LAC-l2tp1] quit 


# 在 LAC 上 创建 用 于 向 LNS 发 起 L2TP 拨号 的 虚拟 模板 接口 ，IP 地 址 对 端 自动 分 
配 , 配置 虚拟 PPP 用 户 的 用 户 名 和 密码 (用户 名 为 winda, 密码 为 1234@huawei), CHAP 
认证 方式 以 及 IP 地址 。 然 后 使 能 LAC 的 日 拨号 功能 。 

[LAC] interface virtual-template 1 

[LAC-Virtual-Template1] ppp chap user winda #--- 指 定 CHAP 认证 用 户 账户 名 为 winda 

[LAC-Virtual-Template1] ppp chap password cipher 1234@huawei #--- 指 定 CHAP 认证 密码 为 1234@huawei 

[LAC-Virtual-Templatel] ip address ppp-negotiate #--- 配 置 虚 拟 模 板 接 口 采 用 LNS 端 自动 分 配 

[LAC-Virtual-Template1] 12tp-auto-client enable #--- 使 能 自动 拨号 功能 

[LAC-Virtual-Templatel| quit 


# 在 LAC 上 配置 到 达 公 司 总 部 私 网 的 路 由 CD VT 接口 )， 使 得 企 
业 分 六 用 户 与 总 部 私 网 互通 。 


[LAC] ip route-static 10.1.2.0 255.255.255.0 virtual-template 1 


(3) 在 LNS 上 配置 AAA 认证 ， 用 户 认证 凭据 与 在 LAC 上 指定 用 于 CHAP 认证 的 
用 户 认 证 凭据 是 一 样 的 。ISP 域 采 用 系统 缺 省 的 default 域 。 


[LNS| aaa 

[LNS-aaa] local-user winda password cipher 1234@huawei #-- 创 建 用 户 账户 winda， 指 定 其 密码 为 1234@huawei ， 
[LNS-aaa] local-user winda service-type ppp #--- 指 定 winda 用 户 文 持 PPP 服务 ， 使 它 可 以 进行 PPP 认证 

[LNS-aaa] quit 


(4) 在 LNS 上 配置 LNS 的 IP 地 址 池 ， 为 LAC 的 拨号 接口 (VT 接口 ) 分 配 卫 地 
此 IP 地址 池 是 与 LNS 上 创建 的 VT 接口 的 IP 地 址 在 同一 IP 网 段 。 


[LNS] ip pool ! 

” [LNS-ip-pool-1] network 10.1.1.0 mask 24 ”#-- 指 定 IP 地 址 池 网 段 为 10.1.1.0/24 
[LNS-ip-pool-1] gateway-list 10.1.1.1 ”#--- 指 定 地 址 池 网 关 为 VT 接口 
[LNS-ip-pool-1| quit 


(5) 在 LNS 上 创建 虚拟 模板 接口 ， 配 置 了 地 址 及 PP 协商 等 参数 。 


[LNS| interface virtual-template 1 

[LNS-Virtual-Template1] ip address 10.1.1.1 255.255.255.0 #--- 为 VT 接口 配置 了 地 址 

[LNS-Virtual-Templatc1] ppp authentication-mode chap 大-- 指 定 VT 接口 采用 CHAP 认 让 方式 

[LNS-Virtual-Template1] remote address pool 1 #--- 调 用 前 面 创 建 的 IP 地 址 池 为 发 起 L2TP 拨号 的 LAC 的 VT 接口 分 
配 IP 地 址 

[LNS-Virtual-Templatel| quit 


址 


Oo 
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(6) 在 LNS 上 使 能 L2TP 服务 , 创建 一 个 L2TP 组 ,配置 LNS 本 端 隧道 名 称 及 指定 
LAC 的 阴道 名 称 、 隧 道 认证 密 钥 (要 与 LAC 端 配置 的 隧道 共享 密 钥 一 致 )。 


[LNS] Dtp enable 

[LNS] Dtp-group 1 

[LNS-l2tp1] tunnel name lns 

[LNS-l2tp1] allow 12tp virtual-template 1 remote lac #--- 指 定 允 许 VT 接口 接受 来 自 LAC 的 L2TP 拨号 
[LNS-l2tp1] tunnel authentication 

[LNs-i2tp1] tunnel password cipher huawei 

[LNS-l2tpH quit 


(7) 在 LNS 上 配置 私 网 静态 路 由 (出 接口 为 LNS 上 创建 的 VT 接口 )， 使 得 企业 总 
部 与 企业 分 文 机 构 私 网 互通 。 


[LNS] ip route-static 10.1.10.0 255.255.255.0 virtual-template 1 

3. IPSec 方面 的 配置 

根据 在 本 书 第 3 章 介 绍 的 IKE 动态 协商 方式 建立 IPSec 隧道 方案 的 配置 步骤 来 为 本 
示例 进行 相关 配置 ， 主 要 包括 创建 用 于 定义 需要 保护 的 数据 流 的 ACL、IPSec 安全 提议 
(其 中 的 参数 配置 也 可 直接 采用 缺 省 配置 )， 配 置 IKE 对 等 体 (TKE 安全 提议 中 的 参数 配 
置 可 与 IPSec 安全 提议 中 一 致 ， 也 可 以 不 一 致 )、 安 全 策略 ， 最 后 在 LAC 和 LNS 的 公 网 
侧 物理 接口 上 应 用 所 配置 的 安全 策略 。 

(1) 在 LAC 和 LNS 上 配置 ACL， 定 义 各 目 要 保护 的 数据 流 ， 为 分 文 机 构 子 网 与 公 
司 总 部 子 网 之 间 的 通信 流 。 两 端 配 置 的 ACL 是 镜像 的 。 

[LAC] acl number 3101 


[LAC-acl-adv-3101] rule permit ip sourece 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 
[LAC-acl-adv-3101|] quit 


[LNS|] acl number 3101 
[LNS-acl-adv-3101] rule permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255 
[LNS-acl-adv-3101] quit 


(2) 在 LAC 和 LNS 上 创建 IPSec 安全 提议 ， 名 称 假设 均 为 pro1《〈 两 疹 的 IPSec 安 
全 提议 名 称 可 以 不 同 )。 假 设 只 指定 所 采用 的 ESP 认证 算法 为 SHA2-256， 加 密 算法 为 
AES-128， 其 他 参数 均 直 接 采 用 缺 省 配置 。 


[LAC] ipsec proposal prol #--- 创 建 名 为 prol 的 IPSec 安全 提议 

[LAC-ipsec-proposal-pro1] esp authentication-algorithm sha2-256 #--- 指 定 ESP 的 认证 算法 为 SHA2-256 
[LAC-ipsec-proposal-pro1] esp eneryption-algorithm aes-128 ##-- 指 定 ESP 的 加 密 算法 为 AES-128 
[LAC-ipsec-proposal-prol | quit 


[LNS] ipsec proposal prol 

[LNS-ipsec-proposal-prol|] esp ht ld ton sha2-256 
[LNS-ipsec-proposal-prol | esp encryption-algorithm aes-128 
[LNS-ipsec-proposal-prol] quit 


(3) 在 LAC 和 LNS 上 配置 IKE 对 等 体 。 在 配置 IKE 对 等 体 前 要 创建 好 对 应 的 IKE 
安全 提议 〈 也 可 不 创建 ， 直 接 采 用 缺 省 的 IKE 安全 提议 default)。 

# 在 LAC 上 配置 IKE 安全 提议 。 

[LAC] ike proposal 5 #-- 创 建 序 号 为 5 的 IKE 安全 提议 

[LAC-ike-proposal-5] encryption-algorithm aes-128 #--- 指 定 加 密 算法 为 AES-128 

[LAC-ike-proposal-5] authentication-algorithm sha2-256 #--- 指 定 认 证 算法 为 SHA2-256 

[LAC-ike-proposal-5] dh group14 #--- 指 定 采 用 group14 作为 DH 交换 算法 

[LAC-ike-proposal-5] quit 
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# 在 LAC 上 配置 IKE 对 等 体 ， 并 根据 默认 配置 ， 配 置 预 共 享 密 钥 〈 假 设 为 Huawei@ 
1234， 两 端 配置 必须 一 致 ) 和 对 端 ID。 假 设 AR G3 路 由 器 运行 的 VRP 软件 版 本 为 
V200R008， 此 时 缺 省 情况 下 IKEv1 和 IKEv2 是 同时 启用 的 ， 现 禁用 IKEv1。 

[LAC] ike peer spub “”#-- 创 建 名 为 spub 的 对 等 体 

[LAC] undo version 1 #--- 取 消 IKEv1 的 配置 ， 即 禁用 IKEv1 

[LAC-ike-peer-spub] ike-proposal 5 #-- 引 用 前 面 创建 的 IKE 安全 提议 5 

[LAC-ike-peer-spub] pre-shared-key cipher Huawei@1234 #--- 指 定 IPSec 隧道 共享 密 钥 为 Huawei@1234， 两 端的 配 
置 必须 一 致 。 但 可 与 L2TP 隧道 共享 密 钥 一 样 ， 也 可 不 一 样 

[LAC-ike-peer-spub] remote-address 1.1.1.1 #-- 指 定 对 等 体 地 址 为 1.1.1.1， 即 LNS 的 公 网 侧 接口 IP 地 址 

[LAC-ike-peer-spub] quit 

# 在 LNS 上 配置 IKE 安全 提议 。 

[LNS] ike proposal 5 
> [LNS] undo version 1 

[LNS-ike-proposal-$| encryption-algorithm aes-128 

[LNS-ike-proposal-5|] authentication-algorithm sha2-256 

[LNS-ike-proposal-$S| dh groupl4 

[LNS-ike-proposal-5] quit 


# 在 LNS 上 配置 IKE 对 等 体 ， 并 根据 默认 配置 ， 配 置 预 共 享 密 铀 和 对 端 ID。 


[LNS] ike peer spua 

[LNS-ike-peer-spua | ike-proposal 5 

[LNS-ike-peer-spua| pre-shared-key cipher Huawel@1234 
[LNS-ike-peer-spua] remote-address 1.1.2.1 
[LNS-ike-peer-spua] quit 


(4) 在 LAC 和 LNS 上 创建 ISAKMP 方式 的 安全 策略 。 
# 在 LAC 上 配置 IKE 动态 协商 方式 安全 策略 。 


[LAC] ipsec policy client 10 isakmp #--- 创 建 名 为 client， 序 号 为 10 的 ISAKMP 安全 策略 
[LAC-ipsec-policy-isakmp-client-10] ike-peer spub”#--- 引 用 前 面 创建 的 IKE 对 等 体 spub 
[LAC-ipsec-policy-isakmp-client-10] proposal prol ”#--- 引 用 前 面 创建 的 IPSec 安全 提议 prol 
[LAC-ipsec-policy-isakmp-client-10] security acl 3101 #--- 引 用 前 面 创建 的 ACL 3001 
[LAC-ipsec-policy-isakmp-client-10] quit 


# 在 LNS 上 配置 IKE 动态 协商 方式 安全 策略 。 


[LNS] ipsec policy server 10 isakmp 
[LNS-ipsec-policy-isakmp-server-10] ike-peer spua 
[LNS-ipsec-policy-isakmp-server-10] proposal prol 
[LNS-ipsec-policy-isakmp-server-10] security acl 3101 
[LNS-ipsec-policy-isakmp-server-10] quit 


(5) 在 LAC 和 LNS 公 网 接口 上 应 用 各 目 创 建 的 安全 策略 组 ， 使 接口 具有 IPSec 的 
保护 功能 。 

[LAC | interface gigabitethernet 1/0/0 

[LAC-GigabitEthernet1/0/0] ipsec policy client 

[LAC-GigabitEthernet1/0/0] quit 

[LNS| interface gigabitethernet 1/0/0 

[LNS-GigabltEthernet1/0/0] ipsec policy server 

[LNS-GigabitEthernet1/0/0] quit 


4. 配置 结果 验证 

以 上 配置 好 后 ， 可 在 分 文 机 构 主 机 PC1 执行 ping 操作 ， 现 在 可 以 ping 通 位 于 公司 
总 部 的 主机 PC2， 但 它们 之 间 的 数据 传输 将 被 加 密 。 执 行 display ipsec statistics 命令 可 
以 查看 数据 包 的 统计 信息 。 

# 在 LAC 上 执行 display ike sa 命令 可 以 查看 当前 由 IKE 建立 的 安全 联盟 。 因 为 本 
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示例 假设 AR G3 路 由 器 运行 的 是 IKEv2 版 本 ， 所 以 在 其 中 显示 了 IKEvV2 中 的 第 一 、 第 


二 阶段 所 建立 的 SA 
[LAC | display ike sa 
Conn-ID Peer VPN Flag(s) Phase 
16 EFI! 0 RDIST V2:2 #--- 第 二 阶段 建立 的 IPSec SA 
14 F111 0 RDIST Vv2:1 #--- 第 一 阶段 建立 的 IKE SA 


Number of SA entries :2 
Number of SA entries of all cpu : 2 


Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQNO. BCK--BACKED UP 
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING 


# 在 LAC 或 者 LNS 上 执行 display 12tp tunnel 命令 可 看 到 L2TP 隧道 及 会 话 建 立 。 
以 下 是 在 LAC 上 执行 本 命令 的 输出 示例 ,可 以 发 现 LAC 与 LNS 已 成 功 建立 L2TP 降 道 。 
[LAC] display 12tp tunnel 
Total tunnel : 1 


LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 
1 1 Ei 1701 | lns 


5.10”L2TP VPN 故障 排除 


L2TP VPN 连接 的 建立 过 程 比 较 复杂 ， 出 错 的 概率 也 比较 大 ， 导 致 可 能 出 现 一 些 意 
想不到 的 故障 。 这 里 就 两 种 常见 的 情况 进行 分 析 。 但 在 进行 排 错 之 前 ， 请 先 确认 LAC 
与 LNS 都 已 在 公共 网 络 上 ， 并 实现 正确 连通 。 


5.10.1 Client-Initiated 模式 L2TP VPN 典型 故障 排除 


在 利用 Windows 10 操作 系统 (最 好 不 要 用 Windows 10 系统 ， 它 在 VPN 支持 方面 
存在 较 多 问题 ) 或 Huawei VPN Client 软件 采用 Client-Initiated 模式 建立 L2TP VPN 连接 
时 往往 会 出 现 一 些 意 想 不 到 的 故障 ， 现 为 大 家 提供 一 些 典 型 故障 的 排除 方法 。 

1. 用 户 登 录 失 败 

这 种 故障 现象 是 在 远程 拨号 用 户主 动 发 起 的 L2TP 隧道 连接 的 情形 ， 因 为 此 时 远程 
终端 用 户主 机 是 直接 向 LNS 发 起 L2TP 拨号 的 ， 所 以 才 会 出 现 用 户 登 录 失 败 的 现象 。 其 
他 几 种 情形 ， 都 是 由 LAC 设备 被 动 ， 或 主动 向 LNS 发 起 L2TP 拨号 的 ， 远 程 用 户 只 需 
要 连接 LAC 即 可 ， 不 存在 L2TP 登录 失败 的 现象 。 

用 户 拨 号 失败 ， 可 能 有 以 下 原因 造成 : 

(1) 隧道 建立 失败 ， 这 其 中 又 包括 以 下 几 种 可 能 的 原因 。 

e。 用 户 端 的 LNS 服务 器 地 址 配置 销 误 。 

e。 LNS 端 没 有 设置 可 以 接收 该 隧道 对 端的 L2TP 组 ， 即 没有 正确 配置 allow 12tp 
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virtual-template vt-number 命令 。 


。 用 户 端 和 LNS 上 配置 的 隧道 认证 不 一 致 。 

可 以 在 LNS 上 使 用 命令 display 12tp-group [ group-number ]， 查 看 TunnelAuth 字段 
内 容 ， 是 否 启 用 了 隧道 认证 功能 。 如 果 用 户 端 支持 隧道 认证 ， 则 还 需要 在 L2TP 组 视图 
下 查看 隧道 认证 的 共享 密 钥 是 否 和 用 户 端的 配置 一 致 。 

(2) PPP 协商 失败 ， 这 其 中 又 包括 以 下 几 种 可 能 的 原因 。 

@ 用 户 拨号 信息 和 LNS 上 的 用 户 账户 配置 不 一 致 。 

可 以 在 LNS 上 AAA 视图 下 通过 执行 display this i 查看 配置 的 用 户 信 息 。 

@ LNS 上 配置 的 人 P 地 址 池 有 错误 。 

IP 地 址 池 中 未 指定 网 关 地 址 或 者 指定 的 网 关 地 址 错误 。 可 以 在 LNS 上 的 IP 地址 池 
中 使 用 gateway-list ip-address &<1-8> 命 令 将 LNS 上 配置 的 VT 虚拟 接口 的 IP 地 址 指定 
为 卫 地址 池 的 网 关 地 址 。 

(3) PPP 协商 参数 不 一 致 。 

在 LNS 的 VT 接口 视图 下 ， 确 定 配置 的 PPP 认证 方式 是 pap 还 是 chap， 使 用 命令 
display 12tp-group [ group-number ] 查 看 ForceChap 字段 内 容 ,， 看 是 否 启用 了 强制 CHAP 
认证 功能 。 如 果 启 用 强制 CHAP 认证 ， 则 VT 接口 视图 下 的 认证 方式 需要 为 chap， 同 时 
检查 用 户 端的 L2TP 连接 属性 ， 确 认 人 允许 的 协议 中 是 否 勾 选 了 设备 文 持 的 CHAP 认证 方 
式 ， 参 见 5.6.6 节 中 的 图 5-29。 

2. Windows 10 系统 L2TP VPN 建立 失败 

如 果 已 按照 5.6.6 节 介 绍 的 Windows 10 操作 系统 部 吐 L2TP 拨号 的 步骤 配置 好 了 ， 
但 拨号 时 仍 显 示 “L2TP 连接 党 试 失败 ， 因 为 安全 层 在 初始 化 与 远程 计算 机 的 协商 时 遇 
到 了 一 个 处 理 错误 ”错误 提示 ， 则 请 按 以 下 步骤 进行 排除 。 

(1) 确保 Windows 10 系统 中 的 “ “IPsec So Polioy Agent 服务 已 局 动 ， ls 5-55 所 示 。 
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总 iNodeMngChecker Service 正在 运行 自动 . 

i Intel(R} Capability Licensi.. Yersion: 1.42.17.0 手动 | 

i intel(R} Dynamic Applicat... intel(R) Dynamic Applic... 手动 | 

在 狼 述 : ntel(R} Management an... intel(R) Management an... 手 焉 | 
internet 协议 安全 (PSec) 支 持 网 络 级 Intel[R) Rapid Storage Te..，Provides storage event ..， 正在 运行 自动 [延迟 高 动 ) | 
te intet(Rj Security Assist Security Helper 手动 

| ， 此 服务 强制 执行 通过 ip intel(R] Security Assist He... Security Helper 手 动 | 
| 安全 第 略 管 理 单元 或 命令 行 工 过 Interactive Services Dete..， 启用 交互 服务 需要 用 户 扩 .… 手 融 | 
>》 蔷 sQt Server Configural| 县 "netsh ipsec" 创建 的 jpSec 策 。 流 Internet Connection Shari.， 为 家 庭 和 小 型 办 公 网 阁 提 ;.… 手动 (触发 句 启 动 ) | 
es : pi i ie 贷 用 ipv6 A 启动 

| 河 匡 ， 同 样 ， 此 服务 税 秆 对 ， Se 这 y Age Woernet' sw St 1 节 - MTR | 
| Windows 防火 壤 的 远程 管理 也 不 再 可 re Core Service 金山 毒 堪 核心 服务 正在 运行 ”。 自 政 本 地 系统 | 
| 用。 并 KtmRm for Distributed Tr..， 协 调 分 布 式 事务 处 理 协 调 .. 手动 ( 亦 发 器 启动 网 络 感 务 | 
六 Link-Layer Topology Disc..， 创 建 网 阁 跑 射 ， 它 由 电 腔 ... 手 政 本 地 服务 | 

吕 Local Session Manager ” 管理 本 地 用 户 会 活 的 核心 .。 正在 运行 生动 本 地 系统 ; 

s MessagingService 758ee ”支持 短信 及 相关 功能 的 妥 ..… 手动 ( 甬 发 裔 启 动 ) 本 地 系统 | 

游 Microsoft (R) 涌 疡 中 心 标 -。 诊断 中 心 标准 履 全 器 服务 .。 手动 本 地 系统 | 

名 Microsoft Account Sign-i.。 支持 用 疡 通过 Microsoft .… 手 敌 ( 鲸 发 器 启动 ) 本 地 系统 | 

注 Mic rosoft iSCSt initiator .。 管理 从 这 台 计 算 机 到 hz 程 i 手动 本 地 系统 | 

i icrosoft Passport 为 用 于 对 用 户 关联 的 标 深 … 手动 ( 裔 发 器 害 动 ) 本 地 系统 | 

Microsof passport Cont.。 管理 用 于 针对 标 深 提 供 者 .… 手动 ( 玄 发 器 启动 ”本 地 服务 | 

手动 本 地 服务 

| 
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图 5 S59 启动 “Ipsee eo Botley A 服务 的 界面 
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(2) 确保 “Routing and Remote Access” 和 “Remote Access Connection Manager” 服 
务 已 启动 ， 如 图 5-56 所 示 。 
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这 QQRepairFixSVC 
二 :Quality Windows Audio Video Experi.， 优 质 Windows 音 闫 视频 ... 
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| > :Remote Desktop Configuration 远程 桌面 配置 服务 (RDCS)..… 
| 管理 从 这 台 计 算 机 到 internet 或 其 他 二 Remote Desktop Services 允许 用 户 以 交互 方式 连接 .… 
| 远程 网 络 的 拨号 和 密 氢 专用 网 阁 (VPN) 
| 连接。 如 果 禁 用 该 项 服务 ， 则 明确 依 流 .Remote Desktop Services UserMode..， 人 允许 为 RDP 连接 重 定向 打 .. 
| 区 该 服务 的 任何 服务 都 将 无 法 启动 。 已: Remote Packet Capture protocol v0 ... Allows to capture traffic... 
| 车 .Remote Procedure Call (RPC) RPCSS 服务 是 COM 和 D. 
二 ,Remote procedure Call (RPC) Locator 在 Windows 2003 和 Wi... 
过 :Remote Registry 使 远程 用 户 能 修改 此 计算 .… 
i Routing and Remote Access 
RPC Endpoint Mapper 解析 RPC 接口 标识 符 以 传 .. 
RW Secondary Logon 在 不 同 凭据 下 启用 启动 过 .… 
入 Secure Socket Tunneling Protocol Se..， 提 供 使 用 VPN 连接 到 远 . 
Security Accounts Manager 启动 比 服务 将 向 其 他 服务 .… 
Security Center WSCSYClWindows 安全 
Sensor Data Service 
:和 Sensor Monitoring Service 
Sensor Service 
沈 Server 
Shared PC Account Manager 
过 Shell Hardware Detection 





图 5-56 “Routing and Remote Access” 和 “Remote Access Connection Manager” 服 务 的 界面 


(3) 在 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\Rasman \Parameters 
下 创建 ProhibitIpSec 键 项 (使 系统 采用 本 地 IPSec 策略 进行 身份 验证 )， 选 择 DWORD 
类 型 并 将 其 设置 为 1 (其 目的 是 在 建立 L2TP over IPSec 时 不 使 用 数字 证 书 认证 功能 )， 
同时 修改 其 中 的 AllowL2TPWeakCrypto 键 〈 人 允许 L2TP 通信 不 加 密 )， 选 择 DWORD 类 
型 并 将 其 设置 为 1， 如 图 5-57 所 示 。 


区 注册 雪 编 各 器 -DO x| 
文件 篇 纪 @ 二 看 收 讼 天 和 帮助 40 
.: QQSysMonX64 
QWAVE 
2 QWAVEdrv 
是 RasAcd 
RasAgileVvpn 
RasAuto 
-Rasl2tp 
7 RasMan 
2 KEv2 
Parameters 
:Thirdparty 
: RasPppoe 
: RasSstp 











多 AllowL2TPWeakCrypto | | 

| B38 AllowPpTPWeakCrypto REG DWORD 0x00000000 {0} 
MKeepRasConnections REG DWORD 0x00000000 (0) 

25) Medias REG MUETE SZ rastapi 
| 鳃 Miniportsinstalled REG DWORD OxO000FF (65535) 

gjServiceDil REG EXPAND SZ  %SystemRoot6\System32\rasmans.dll 

如 ServiceDliJnloadOnStop REG DWORD 0x00000001 (1) 

prohibitipSec REG DWORD Ox00000001 (1) 


人 











ENHKEYV1 EOCAE OO 


图 5-57 ”配置 ProhibitIpSec 和 AllowL2TPWeakCrypto 键 项 的 界面 


配置 好 注册 表 后 要 重 忆 计算 机 ， 使 新 配置 生效 ， 下 同 。 
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3. Windows 10 系统 L2TPVPN NAT 穿越 失败 

如 果 要 通过 L2TP 拨号 访问 的 服务 器 位 于 NAT 网 络 之 后 〈 不 是 直接 连接 公 网 )， 尽 
管 你 已 按照 5.9 节 介 绍 的 Windows 10 操作 系统 部 署 L2TP 拨号 的 步骤 配置 好 了 ， 但 拨号 
时 仍 会 显示 “无 法 建立 计算 机 与 VPN 服务 器 之 间 的 网 络 连 接 ， 因 为 远程 服务 器 未 啊 应 。 
这 可 能 是 因为 未 将 计算 机 与 远程 服务 器 之 间 的 某 种 网 络 设备 (如 防火 墙 、 NAT、 路 由 器 
等 ) 配置 为 允许 VPN 连接 。 请 与 管理 员 或 服务 提供 商 联 系 以 确定 哪 种 设备 可 能 产生 此 问 
题 ”的 错误 提示 。 

这 时 需要 在 注册 表 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\ 
PolicyAgent 下 添加 AssumeUDPEncapsulationContextOnSendRule 键 项 ， 选 择 DWORD 
类 型 并 将 其 值 设置 为 12， 如 图 5-58 所 示 。 其 目的 是 无 论 是 L2TP 拨号 客户 端 , 还 是 VPN 
服务 器 位 于 NAT 网 络 之 后 均 可 以 建立 VPN 连接。 如 果 设 置 为 1， 则 仪表 示 当 VPN 服务 
人 锅 位 于 NAT 网 络 后 ， 客 户 疹 仍 可 与 它 建立 VPN 连接 。 

















REG DWORD 9Dx00000003 G2} 
REG DWORD 


轿 注 册 表 篇 名 和 = 和 
HD MED EV dBA 5 CC 
i i 1, [PEAUTH | (ab) GA) REG SZ 全 -信和 未 设置 )} 
| | ia}DependOnService REG MULTI SZ Tcpip bfe 
| | Ps | 国 Description REG SZ @%SystemRoot%\system32\polstore.dll,-5011 
4 一 人 | 2d}DisplayName REG SZ ipsec Policy Agent 
| ot 攻 ErrorControl REG DWORD 0x00000003 (1) 
翘首 jo 钢 FailureActions REG BINARY 80 51 01 00 00 00 00 00 00 00 00 00 03 00 0... 
| 王 Pei 和 ec 2b)imagePath REG EXPAND SZ  %SystemRoots\system32\svchost.exe -kK Net... 
| > 六 phonabve ab)ObjectName REG SZ NT Authority\NetworkService 
: ab}RequiredPrivileges REG MUETI SZ SeAudiprivilege SeChangeNotifyPrivilege SeC... 
| > 加 | REG DWORD Ox00000001 (1)} 
> 量 
二 
7 





v 
< 





1 0 
计算 机 \HKEY LOCAL MACHINEMSYSTEM\CurrentContr ices\PolicyAgent 


图 5-58 ”配置 AssumeUDPEncapsulationContextOnSendRule 键 项 的 界面 





“华为 AR G3 系列 路 由 器 从 V200R002C00SPC200 版 本 开始 才 支 持 NAT 穿越 功能 。 


4. 用 户 拨号 总 显示 691 的 错误 提示 。 

如 果 设 备 配 置 好 L2TP 功能 之 后 ， 在 用 户 接 入 时 需要 拨号 十 几 次 才能 成 功 ， 期 间 一 
直 错 误 提 示 691。 出 现 这 种 问题 的 原因 是 华为 AR G3 系列 路 由 器 缺 省 只 支持 16 字 节 的 
challenge《〈 质 询 ) 消息 ， 其 他 不 支持 。 当 challenge 消息 不 为 16 字 节 时 ，CHAP 认证 不 
通过 ， 给 用 户 发 送 的 提示 为 691 (用户 名 或 者 密码 错误 )。 此 时 ， 需 要 在 LNS 设备 配置 
L2TP LCP 重 协商 功能 ， 使 得 LNS 和 客户 端 自行 协商 challenge 消息 为 16 字 节 ， 即 可 顺 
利 拨号 。 有 关 L2TP LCP 重 协商 功能 的 具体 配置 方法 参见 本 章 5.8 节 第 1 点 介绍 。 

5. Huawei VPN Client 建立 L2TP VPN 连接 时 出 现 “ 隧 道 保 活 超时 或 协商 超时 ”的 
错误 提示 

如 果 在 使 用 Huawei VPN Client 客户 端 软件 进行 L2TP 拨号 时 ， 第 一 步 就 出 现 “ 隧 道 
保 活 超时 或 协商 超时 ”的 错误 提示 ， 一 般 可 能 是 以 下 几 方 面 原因 。 
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。 在 LNS 闯 配 置 L2TP 组 时 限制 了 远 端 隧道 名 , 但 VPN Client 配置 L2TP 隧道 名 称 
不 被 包含 在 内 。 即 在 LNS (VPN 服务 器 ) 中 已 通过 allow 12tp virtual-template remote 命 
令 指定 了 远程 隧道 名 ， 但 却 不 是 L2TP 拨号 客户 端 所 配置 的 隧道 名 。 

。 在 LNS 问 配 置 L2TP 组 时 没有 开启 隧道 验证 , 但 VPN Client 配置 L2TP 时 却 启用 
了 隧道 认证 功能 . 即 在 LNS 中 已 通过 命令 undo tunnel authentication 禁用 了 隧道 认证 功 
能 ， 但 在 L2TP 客户 端 如 图 5-59 中 却 启 用 了 隧道 认证 功能 ， 并 配置 了 共享 密 钥 。 





L2TP 是 性 X 


基本 设置 L2TP 设 置 | 路 由 设置 | 
Egg 
| 

















图 5-59 “L2TP 设置 ”标签 页 界面 


6. Huawei VPN Client 建立 L2TP VPN 时 出 现 “ 链 路 层 保 活 超 时 或 协商 超时 ”的 错 
误 提 示 

如 果 在 使 用 Huawei VPN Client 客户 端 软件 进行 L2TP 拨号 时 ， 出 现 “ 链 路 层 保 活 超 
时 或 协商 超时 ”的 错误 提示 ， 一 般 是 由 于 在 LNS 端 配置 L2TP 时 没有 创建 好 对 应 的 
Virtual-Template 接口 。 

7. Huawei VPN Client 建立 L2TPVPN 时 出 现 “L2TP 配置 错误 ”的 错误 提示 

在 使 用 Huawei VPN Client 客户 端 软 件 进 行 L2TP 拨号 时 ， 出 现 “L2TP 配置 错误 ” 
的 错误 提示 ， 一 般 是 由 于 以 下 两 方面 造成 的 。 

。 在 LNS 端 配置 L2TP 组 时 启用 了 隧道 认证 ，VPN Client 配置 L2TP 时 也 局 用 了 降 
道 认 证 ， 但 两 者 配置 的 共享 密 钥 不 一 致 。 

。 在 LNS 端 配置 L2TP 组 时 已 配置 好 Virtual-Template 接口 ， 但 接口 下 未 配置 好 用 
于 为 远程 拨号 用 户 分 配 IP 地 址 的 远 端 地 址 池 。 


5.10.2 NAS-lInitiated 和 LAC-Auto-lnitiated 模式 L2TP VPN 暴 型 故障 排除 


在 由 NAS 发 起 ， 或 者 由 LAC 自动 拨号 发 起 建立 L2TP VPN 的 过 程 中 也 可 能 因 各 种 
原因 最 终 导致 L2TP 隧道 建立 不 成 功 或 隧道 建立 成 功 了 也 不 能 实现 两 端子 网 互 访 ， 本 市 
也 将 介绍 几 种 典型 故障 的 排除 方法 。 
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1. L2TP VPN 隧道 建立 失败 的 故障 排除 

在 通过 NAS (其 实 同时 担当 LAC 角色 的 )、LAC 与 LNS 建立 L2TP VPN 隧道 时 ， 
如 果 总 是 无 法 建立 成 功 ， 则 可 以 采用 以 下 步骤 来 进行 排除 。 

(1) 检查 LAC 上 通过 start 12tp 命令 指定 的 LNS 地 址 是 否 路 由 可 达 。 如 果 不 可 达 ， 
请 配置 路 由 。 

(2) 如 果 是 LAC-Auto-Initiated 模式 ， 则 要 检查 LAC 上 是 否 已 通过 12tp-auto-client 
enable 命令 局 用 了 目 拨 号 功能 。 

(3) 检查 两 端 是 否 同时 启用 或 禁用 隧道 认证 功能 ， 如 果 同 时 局 用 了 隧道 认证 功能 ， 
再 查看 两 端 配置 的 隧道 认证 共享 密 钥 是 否 一 致 ， 如 果 不 一 致 ， 则 修改 配置 。 

(4) 检查 LNS 上 的 L2TP 配置 ， 删 除 allow 12tp 命令 指定 的 remote 参数 。 如 果 发 现 
L2TP 隧道 建立 成 功 , 则 故障 原因 为 LAC 的 隧道 名 称 错误 或 者 LNS 指定 的 隧道 名 称 错误 。 
请 选择 以 下 解决 方法 之 一 。 

。 在 LAC 上 通过 tunnel name 命令 配置 隧道 本 端的 名 称 ,， 使 之 与 LNS 的 allow 12tp 
命令 指定 的 remote 参数 保持 一 致 。 

。 在 LNS 上 通过 命令 allow 12tp 修改 remote 参数 ， 使 之 与 LAC 的 配置 的 隧道 名 称 
一 致 。 如 果 LAC 上 没有 通过 命令 tunnel name 配置 隧道 本 端的 名 称 ， 则 remote 参数 取 
值 为 LAC 的 设备 名 称 。 

(5) 检查 LAC 端 和 LNS 端 配 置 的 PPP 认证 方式 、 认 证 凭据 和 ISP 域 是 否 一 致 ， 如 
果 不 一 致 则 修改 配置 。 如 果 LNS 信任 LAC, 不 需要 对 远程 用 户 二 次 认证 , 则 可 以 在 LNS 
侧 的 认证 方案 视图 下 ， 执 行 authentication-mode none 命令 配置 认证 模式 为 不 进行 认证 ， 
即 直接 让 远程 用 户 通过 认证 。 

2. 建立 L2TP 连接 后 无 法 传输 数据 的 故障 排除 

这 种 故障 现象 表示 为 ， 虽 然 L2TP 连接 已 经 建立 ， 但 无 法 传输 数据 ， 远 程 用 户 无 法 
ping 通 企业 总 部 内 的 私 网 网 段 主 机 。 这 时 可 能 是 由 以 下 原因 造成 的 。 

(1) LNS 上 不 存在 到 达 企业 总 部 内 的 私 网 网 段 路 由 

可 以 在 LNS 使 用 命令 display ip routing-table 查看 路 由 信息 。 

(2) 用 户 设置 的 地 址 有 误 

一 般 情 况 下 ， 远 程 用 户 的 IP 地 址 是 由 LNS 上 配置 的 VT 接口 分 配 的 ， 当 然 终端 用 
户 也 可 以 指定 上 自己 的 了 P 地 址 。 但 如 果 指 定 的 卫 地 址 和 LNS 所 要 分 配 的 地 址 不 属于 同一 
个 网 段 ， 就 会 发 生 这 种 情况 ， 建 议 由 LNS 统一 为 远程 用 户 分 配 IP 地 址 。 

(3) 网 络 拥塞 

L2TP 是 基于 UDP 进行 传输 的 ，UDP 不 对 报 文 进行 差错 控制 。 如 果 是 在 线路 质量 不 
稳定 的 情况 下 进行 L2TP 应 用 ， 有 可 能 会 产生 Ping 不 通 对 端的 情况 。 

(4) LAC 与 远程 用 户 协 商 之 后 的 PPP 报 文 格式 无 法 被 LNS 识别 

一 般 情况 下 ，LAC 与 远程 用 户 进行 PPP 协商 后 ，PPP 报 文 格式 可 以 被 LNS 识别 。 
但 是 ， 某 些 三 商 的 LAC 设备 与 远程 用 户 协 商 之 后 的 PPP 报 文 是 压缩 格式 ， 如 果 华 为 设 
备 LNS 无 法 识别 这 类 报 文 ， 将 造成 远程 用 户 无 法 ping 通 总 部 网 络 。 此 时 可 以 在 华为 设 
备 LNS 上 执行 mandatory-lcp 命令 , 使 能 LNS 的 LCP 重 协商 功能 ,使 LNS 直接 与 远程 
用 户 之 间 重 新 开始 PPP 协商 ， 之 后 发 送 的 PPP 报 文 就 可 以 被 LNS 识别 。 


半 工 蛮 !+ 
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GRE 是 一 种 基于 Tunnel ( 隧道 ) 接口 建立 隧道 的 三 层 隧道 协议 ， 可 以 对 二 、 三 层 报 
文 进行 封 ， 通 过 建立 GRE 隧道 ， 可 与 远 端 建立 虚拟 的 点 对 点 连接 。GRE 的 最 大 特点 是 
同时 支持 对 单 播 、 组 播 和 广播 数据 的 封装 和 传输 ， 比 前 面 介 绍 的 IPSec 和 L2TP 解决 方 
和 的 应 用 更 广 的 应 用 范围 。 但 GRE VPN 主要 适用 于 有 固定 公 网 IP 地址 的 站 点 到 站 点 
(如 分 支 机 构 与 企业 总 部 ， 分 支 机 构 之 间 ) 连接 ， 不 是 很 适用 于 移动 办 公用 户 接 入 企业 
网 络 的 情形 。 

本 章 首 先 将 全 面 介 绍 GRE 协议 的 基础 知识 和 工作 原理 ， 包 括 GRE 协议 报 文 格式 、 
报 文 封装 和 解 封装 原理 、 安 全 机 制 和 隧道 链 路 检测 机 制 ， 以 及 GRE 的 一 些 典 型 应 用 场景 。 
随后 ， 将 在 本 章 中 具体 介绍 在 不 同 场景 中 GRE 应 用 的 配置 与 管理 方法 , 后 面 还 将 介绍 大 
量 基于 不 同 应 用 场景 下 的 GRE 应 用 案例 的 配置 思路 分 析 和 具体 配置 方法 ,以 巩固 前 面 所 
学 的 GRE 各 种 应 用 场景 下 的 配置 与 管理 方法 。 最 后 还 就 一 些 在 GRE 应 用 部 署 中 可 能 
现 的 典型 故障 的 排除 方法 进行 介绍 ， 以 便 读 者 对 一 些 在 配置 过 程 中 需要 特别 注意 的 地 方 
加 强 记 忆 和 理解 。 

另外 ，GRE VPN 与 L2TP VPN 一 样 ， 在 安全 方面 还 是 不 够 完善 ， 不 能 对 隧道 中 传输 
的 数据 提供 加 密 保 护 ， 也 不 能 提供 足够 强 半 的 身份 认证 机 制 ， 所 以 GRE 也 可 以 与 IPSec 
结合 , 形成 更 具 安 全 保障 的 GRE over IPSec 或 IPSec over GRE 方案 . 当然 这 两 种 与 IPSec 
结合 的 方案 有 不 同 特点 的 ， 配 置 方法 上 也 存在 比较 大 的 区 别 ， 这 些 在 本 章 后 面 也 将 有 有 具 
体 的 介绍 。 

本 章 最 后 也 将 介绍 在 GRE VPN 的 部 署 过 程 中 可 能 出 现 的 一 些 典型 故障 的 排除 方法 ， 
希望 对 大 家 在 实际 的 GRE VPN 维护 过 程 中 有 所 帮助 。 


6.1 GRE VPN 工作 原理 


GRE (Generic Routing Encapsulation， 通 用 路 由 封装 协议 ) 可 以 对 多 种 网 络 层 协议 
(如 IPX、AIM、IPv6、AppleTalk 等 ) 的 数据 报 文 进行 章 封装 ， 使 这 些 被 封装 的 原始 协 
议 报 文 能 够 在 男 一 个 网 络 层 协议 (如 IPv4) 中 传输 ， 到 达 GRE 隧道 的 目的 端 后 再 进行 
解 封装 , 仍 按 原 始 协 议 进 行 报 文 的 转发 。 也 就 是 GRE 提供 了 将 一 种 协议 的 报 文 封装 在 鸭 
一 种 协议 报 文中 的 机 制 , 是 一 种 三 层 点 对 点 隧道 封装 技术 , 使 报 文 可 以 通过 GRE 隧道 透 
明 的 传输 ， 解 决 了 异种 网 络 的 传输 问题 。 

GRE 可 以 给 我 们 带 来 以 下 好 处 。 

。 GRE 实现 机 制 简 单 ， 对 隧道 两 端的 设备 负担 小 〈 加 闭 的 GRE 报头 最 短 仅 4 个 字 
节 ， 最 长 也 仅 20 个 字 节 )。 

。 GRE 隧道 可 以 通过 IPv4 网 络 连通 多 种 网 络 协议 的 本 地 网 络 ， 有 效 利 用 了 原 有 的 
网 络 架 构 ， 降 低 成 本 。 

。 GRE 隧道 扩展 了 跳 数 受 限 网 络 协议 (如 RIP 路 由 协议 ) 的 工作 范围 支持 企 业 灵 
活 设 计 网 络 拓扑 。 

。 GRE 隧道 可 以 封装 组 播 数 据 ， 和 IPSec 结合 使 用 时 可 以 保证 语音 、 视 频 等 组 播 业 
务 的 安全 。 


第 6 章 GRE VPN 配置 与 管理 313 


。 GRE 隧道 支持 使 能 MPLS LDP (Label Distribution Protocol， 标 签 分 发 协议 )， 使 
用 GRE 隧道 承载 MPLS LDP 报 文 ， 建 立 LDP LSP， 实 现 MPLS 骨干 网 的 互通 。 

。GRE 隧道 将 不 连续 的 子 网 连接 起 来 ， 用 于 组 建 VPN， 实 现 企业 总 部 和 分 文 间 安 
全 的 连接 ， 这 是 GRE VPN 的 典型 应 用 。 

【经 验 提示 】GRE 可 以 构建 两 种 类 型 隧道 ， 一 种 是 本 章 使 用 的 点 对 点 GRE 隧道 ， 即 
p-pGRE 隧道 (通常 直接 简称 GRE 隧道 )， 一 个 GRE 隧道 接口 只 能 与 一 个 对 端 建立 一 条 
GRE 隧道 ; 另 一 种 是 第 7 章 介 绍 的 DSVPN 中 使 用 的 点 对 多 点 GRE 隧道 ， 即 mGRE 隧 
道 ， 此 时 一 个 mGRE 隧道 接口 可 与 多 个 对 端 建立 多 条 GRE 隧道 。 

另外 ，GRE 隧道 封 技 术 不 提供 身份 认证 和 数据 加 密 功 能 ， 也 仅 可 提供 简单 的 诸如 校 
验 和 (CheckSum) ， 或 关键 字数 据 验 证 方式 ， 所 以 安全 性 较 差 。 有 具体 将 在 后 面 6.1.3 节 
介绍 


< 一己 DO 


6.1.1 ”GRE 报 文 格 式 


运行 GRE 协议 的 设备 ， 在 收 到 报 文 后 会 对 其 进行 重 封 逆 ， 生 成 GRE 报 文 。 在 新 生 
成 的 GRE 报 文 中 ， 不 仅 会 新 增 一 个 GRE 报头 ， 还 会 在 最 外 层 新 增 一 个 传输 协议 头 〈 如 
传输 网 络 是 IP 网 络 的 话 ， 就 会 新 增 一 个 卫 报头 )。 本 节 先 来 了 解 整 个 GRE 报 文 格式 。 

整个 GRE 报 文 结构 分 如 图 6-1 所 示 《〈《 传 输 协 议 头 在 最 外 面 )， 各 层 说 明 如 下 : 

。 乘客 协议 (Passenger Protocol): 封装 前 的 报 文 称 为 净 何 ， 而 封装 前 报 文 的 协议 称 
为 乘客 协议 ， 如 IPv4 协议 、IPv6 协议 、IPX 协议 等 。 

。 封装 协议 (Encapsulation Protocol): 也 称 为 运载 协议 〈Carrier Protocol)， 此 处 的 
封装 协议 就 是 GRE 协议 。GRE Header (GRE 报头 ) 就 是 由 GRE 这 种 封装 协议 生成 并 填 
充 胸 。 









传输 协议 封装 协议 /运载 协议 乘客 协议 
Delivery Header RE 日 Payload Packet 
ye es - 
a ~ 
2 De 
Pp \ 心 
pa 入 
2 By sw 
We 
i 
Blt : 


6-1 ”GRE 报 文 结构 


。 传输 协议 〈Transport Protocol 或 Delivery Protocol): 负责 对 封装 后 的 报 文 进行 转 
发 的 协议 称 为 传输 协议 ， 也 就 是 传输 网 络 的 协议 类 型 。 通 种 是 指 IPv4 协议 和 IPv6 协议 ， 
所 以 根据 传输 协议 的 不 同 ， 可 以 分 为 GRE over IPv4 和 GRE over IPv6 两 种 隧道 模式 。 本 
书 仅 介绍 GRE over IPv4. 

设备 收 到 一 个 用 户 IP 数据 报 文 后 ， 如 果 发 现 该 报 文 是 要 经 过 GRE 隧道 接口 转发 的 
(通过 配置 定义 ), 则 首先 使 用 封装 协议 对 这 个 净 傈 进行 GRE 封装 ， 即 把 乘客 协议 报 文 进 
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行 了 “包装 *”， 加 上 了 一 个 GRE 报头 后 成 为 GRE 报 文 ; 然后 再 在 封装 好 的 GRE 报 文 最 
外 层 添加 一 个 新 的 IP 报头 , 指导 报 文 在 隧道 中 转发 。 新 卫 报头 中 的 源 IP 地 址 和 目的 IP 
地 址 分 别 为 GRE 隧道 两 端 所 绑 定 的 目的 卫 地 址 ， 即 两 端 公 网 IP 地 址 ， 并 在 “协议 ” 字 
段 中 指示 数据 报 文 的 协议 类 型 为 GRE 协议 (对 应 的 协议 号 为 47)， 以 便 接收 端 可 识 i 
报 文 为 GRE 报 文 ,进行 相应 的 GRE 解 封 装 。 如 图 6-2 所 示 是 把 IPX 协议 数据 包 通 过 GRE 
协议 封装 后 在 IPv4 网 络 中 传输 时 的 报 文 封装 格式 。 


乘客 协议 为 IPX 









封装 协议 为 GRE 
传输 协议 为 IPv4 协议 
图 6-2” GRE 协议 封装 示例 


下 面 介 绍 图 6-1 中 的 GRE 报头 格式 ， 各 字段 解释 如 下 : 

eC:1 位 , 校 验 和 验证 位 ,如 果 该 位 置 1, 表示 GRE 报 头 插 入 了 “ 校 验 和 ”(Checksum) 
字段 ; 该 位 为 0 表示 GRE 头 不 包含 “ 校 验 和 ”了 字段 ， 表 示 的 是 增强 型 GRE 协议 。 

。 K: 1 位 ， 关 键 字 位 。 如 果 该 位 置 |， 表示 GRE 报头 插入 了 “关键 字 ”(Key) 字 
段 ， 置 0 时 表示 GRE 头 不 包含 “关键 字 ” 字 段 ， 在 增强 GRE 协议 中 必须 置 1， 因 为 它 
后 面包 括 了 两 个 Key 字段， 参见 本 书 第 1 章 的 图 1-7。 

e Recursion: 3 位 ， 用 来 表示 GRE 报 文 被 封装 的 层 数 。 完 成 一 次 GRE 封装 后 将 该 
字段 加 1。 如 果 封 装 层 数 大 于 3， 则 丢弃 该 报 文 。 该 字段 的 作用 是 防止 报 文 被 无 限 次 的 
封装 。 








在 RFC1701 规定 Recur 字段 默认 值 为 0， 而 RFC2784 中 规定 当 发 送 和 接受 端 该 
字段 不 一 致 时 不 会 引起 异常 ， 且 接收 端 必须 忽略 该 字段 。 设 备 实现 时 该 字段 仅 在 加 封装 
报 文 时 用 作 标 记 隧 道 谱 套 层 数 , GRE 解 封 装 报 文 时 不 感知 该 字段 , 不 会 影响 报 文 的 处 理 。 


e。 Flags: 5 位， 当前 必须 设 为 0。 

e Version: 3 位 ， 表 示 当 前 所 使 用 的 GRE 协议 版 本 号 ， 普 通 GRE 协议 置 为 0， 增 
强 型 GRE 协议 置 1。 

e。 Protocol Type: 16 位 ， 标 识 乘客 协议 的 协议 类 型 ， 即 原始 数据 报 文 所 使 用 的 网 络 
层 协议 ， 如 IPv4、IPv6、IPX 协议 等 。 常 见 的 乘客 协议 为 IPv4 协议 ， 协 议 代 码 为 0800。 

e Checksum: 16 位 ,用 于 接收 痪 对 GRE 报头 及 其 负载 进行 校 验 和 检查 的 “ 校 验 和 ” 
字段 。 普 通 GRE 协议 中 才 有 该 字段 ， 增 强 型 GRE 协议 中 无 该 字段 。 

。 Key: 可 变 长 ， 关 键 字 字段 ， 用 于 接收 端 对 收 到 的 报 文 进行 验证 。 在 增强 型 GRE 
协议 中 包括 两 个 Key 字段 ， 即 Key Payload Length 和 Key Call ID 字段 。 





下 和 因为 目前 实现 的 普通 GRE 报头 不 包含 源 路 由 字段 ， 所 以 在 图 6-1 中 的 Bit1、Bit 
3 和 Blt 4 都 置 为 0。 
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6.1.2 ”GRE 的 报 文 封装 和 解 封装 原理 


GRE 要 实现 的 是 两 个 相同 协议 网 络 ， 通 过 中 间 的 不 同 协议 网 络 来 连接 的 机 制 ， 如 
图 6-3 所 示 。GRE 隧道 两 端 所 连接 的 网 络 的 协议 类 型 (X 协议 ) 是 相同 的 《如 都 是 IPX 
协议 )， 但 与 GRE 隧道 所 在 的 骨干 网 的 网 络 协议 类 型 不 同 〈 如 为 IPv4 协议 )。 


Payload Payload 
Packet Packet 
Delivery GRE | Payload 
Header Header Packet 


X 协议 网 络 ; z (xX 协议 网 络 ) 


Ingress PE Egress PE 


图 6-3 ”GRE 的 报 文 封装 和 解 封装 原理 示意 图 


GRE 要 实现 报 文 可 在 异种 网 络 中 传输 , 就 涉及 报 文 在 GRE 隧道 源 端 通过 GRE 协议 
对 乘客 协议 (用 “X 协议 ”代表 ) 进行 传输 协议 的 封装 ， 到 达 GRE 隧道 目的 端 时 又 要 进 
行 与 封装 过 程 相 反 的 解 封 状 过 程 。 

如 果 X 协议 报 文 从 Ingress PE (入 方面 PE 设备 ) 向 Egress PE (出 方向 PE 设备 ) 传 
输 ， 则 封装 在 Ingress PE 上 完成 ， 而 解 封装 在 Egress PE 上 进行 。 封 装 后 的 数据 报 文 在 网 
络 中 传输 的 路 径 ， 称 为 GRE 隧道 (GRE Tunnel)。GRE 隧道 所 在 的 骨干 网 通常 是 卫 网 
络 或 MPLS 网 络 。 

1. GRE 的 报 文 封装 原理 

报 文 在 Ingress PE 上 进行 封装 的 基本 流程 如 下 (参见 图 6-3 )。 

(1) Ingress PE 从 连接 X 网 络 协 议 的 接口 接收 到 XX 协议 报 文 后 ， 首 先 交 由 X 协议 功 
能 模块 (如 IPX 模块 ) 处 理 。 

(2) X 协议 根据 报 文 头 中 的 目的 地 址 在 路 由 表 或 转发 表 中 得 找 出 接口 ， 确 定 如 何 转 
发 此 报 文 。 如 果 发 现 出 接口 是 GRE Tunnel 接口 ， 则 对 报 文 进行 GRE 封装 ， 即 添加 GRE 

(3) 如 果 骨 干 网 协议 为 [Pv4， 给 报 文 加 上 IPv4 报头 。IPv4 报头 的 源 IPv4 地 址 就 是 
隧道 源 IPv4 地 址 ， 目 的 IPv4 地 址 就 是 隧道 目的 IPv4 地 址 ， 而 “协议 类 型 ”(protocol) 
是 对 应 GRE 协议 的 协议 号 值 47〈 要 用 十 六 进 制 表示 )。 

(4) 经 过 GRE 重 封 靖 后 的 报 文 会 根据 新 增 的 IPv4 报头 的 目的 卫 地 址 ( 即 隧道 目的 
地 址 )， 在 骨干 网 路 由 表 中 碍 找 相 应 的 出 接口 〈 即 隧道 源 IP 地 址 对 应 的 公 网 接口 ) 并 发 
送 报 文 。 之 后 ， 封 装 后 的 报 文 将 在 该 骨干 网 中 传输 。 

2. GRE 的 报 文 解 封装 原理 

报 文 在 Egress PE 上 进行 的 解 封 装 过 程 与 封装 过 程 正好 相反 ( 参 风 图 6-3 )。 

(1) Egress PE 从 GRE Tunnel 接口 收 到 报 文 后 ， 分 析 IPv4 报头 发 现 报 文 的 目的 地 址 
为 本 设备 ， 且 协议 类 型 为 GRE， 则 Egress PE 去 掉 最 外 层 卫 报头 后 交 给 GRE 协议 处 理 。 
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(2) GRE 协议 再 将 报 文中 的 GRE 报头 去 挥 ， 还 原 出 真正 的 原始 XX 协议 报 文 ， 再 交 
由 X 协议 对 此 数据 报 文 进行 后 续 的 转发 处 理 。 


6.1.3 ”GRE 的 安全 机 人 制 


因为 GRE VPN 通信 中 的 骨干 网 传输 也 是 通过 公共 网 络 〈 如 Internet 或 MPLS 网 络 ) 
进行 的 ， 所 以 也 涉及 到 数据 传输 的 安全 性 问题 。 

GRE 本 身 提供 两 种 基本 的 数据 验证 安全 机 制 :(1) 校 验 和 验证 ; (2) 识别 关键 字 ， 
但 不 提供 用 户 喘 份 验证 和 数据 加 密 保 护 ， 所 以 它 往往 需要 与 IPSec 结合 ,以 GRE over 
IPSec 方案 来 构建 GRE VPN。 

1. 校 验 和 验证 

校 验 和 “(checksum) 验证 是 指 对 封 朔 的 报 文 进行 问 到 端 校 验 ， 防 止 报 文 在 传输 途中 
被 非法 算 改 ， 是 通过 GRE 报头 中 的 C 标识 位 进行 的 。 

在 GRE 报 文 头 中 的 C 位 标识 位 置 1， 则 表示 其 中 的 “ 校 验 和 ”(Checksum) 字段 有 
效 〈 人 参见 图 6-1)。 此 时 ， 发 送 方 将 对 包括 GRE 报头 和 有 效 负载 信息 在 内 的 整个 GRE 报 
文 ， 利 用 CRC 算法 进行 校 验 和 计算 ,将 计算 结果 填充 在 GRE 报头 的 “ 校 验 和 ”字段 中 。 
接收 方 对 接收 到 的 报 文 采用 相同 的 CRC 算法 计算 校 验 和 ， 并 与 所 接收 到 的 GRE 报 文中 
的 GRE 报头 携带 的 “ 校 验 和 ?进行 比较 , 如 果 一 致 则 表示 报 文 在 传输 过 程 中 没有 被 自 改 ， 
可 对 报 文 进一步 处 理 ， 人 否则 丢弃 。 






因为 CRC 校 验方 式 可 以 检查 出 多 位 错误 (但 不 能 纠 错 ) ， 所 以 其 校 验 能 力 较 强 。 


隧道 两 端 可 以 根据 实际 应 用 的 需要 决定 启用 校 验 和 或 禁止 校 验 和 功能 。 如 果 本 闯 配 
置 了 校 验 和 而 对 端 没 有 配置 ， 则 本 端 将 不 会 对 接收 到 的 报 文 进行 校 验 和 检查 ， 但 对 友 送 
的 报 文 计算 校 验 和 ; 相反 ， 如 果 本 端 没有 配置 校 验 和 而 对 端 已 配置 ， 则 本 端 将 对 从 对 端 
发 来 的 报 文 进 行 校 验 和 检查 ， 但 对 发 送 的 报 文 不 计算 校 验 和 。 

2. 识别 关键 字 

识别 关键 字 〈Key) 验证 是 指 对 源 端 发 来 的 数据 合法 性 进行 校 验 ， 只 接收 并 处 理 识 
别 关 键 字 与 本 端 配置 一 致 的 GRE 报 文 。 通 过 这 种 弱 安 全 机 制 ， 可 以 防止 错误 识别 、 接 收 
其 他 地 方 来 的 报 文 。 

RFC1701 中 规定 : 车 GRE 报头 中 的 标识 位 为 1， 则 会 在 GRE 报头 中 插入 一 个 四 
字 节 长 Key (关键 字 ) 字段 (参见 图 6-1)， 收 发 双方 将 进行 识别 关键 字 的 验证 。 

关键 字 的 作用 是 标志 隧道 中 的 流量 ， 属 于 同一 流量 的 报 文 使 用 相同 的 关键 字 。 在 报 
文 解 封装 时 ，GRE 将 基于 关键 字 来 识别 属于 相同 流量 的 数据 报 文 。 只 有 Tunnel 两 端 设 
置 的 识别 关键 字 完 全 一 致 时 才能 通过 验证 ， 否 则 将 报 文 丢 弃 。 这 里 的 “完全 一 致 ”是 指 
两 端 都 不 设置 识别 关键 字 ， 或 者 两 端 都 设置 相同 的 关键 字 。 


6.1.4 ”GRE 的 Keepalive 检测 机 钉 


由 于 GRE 协议 并 不 具备 检测 链 路 状态 的 功能 ，GRE 也 是 一 种 无 状态 的 隧道 ， 即 隆 
道 的 任何 一 端 都 不 会 维护 它 与 对 端的 连接 状态 。 此 时 如 果 对 端 接口 不 可 达 ，GRE 隧道 并 
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不 能 及 时 中 断 隧道 两 端的 连接 ， 这 样 会 造成 源 端 仍 会 不 断 的 问 对 端 转 发 数据 ， 而 对 妆 却 
因 隧 道 不 通 而 接收 不 到 报 文 ， 由 此 就 会 形成 数据 空洞 。 

这 时 就 可 以 借助 GRE 的 Keepalive 检测 功能 来 解决 了 ， 它 可 以 通过 周期 性 发 加 对 痕 
发 送 Keepalive 报 文 〈 一 种 类 似 于 动态 路 由 协议 中 很 小 的 hello 报 文 ) 检测 隧道 的 连通 状 
态 。 如 果 对 端 不 可 达 ， 则 会 立即 关闭 本 端 隧道 端口 ， 避 免 因 对 端 不 可 达 而 造成 的 数据 丢 
失 ， 有 效 防 止 数据 空洞 ， 保 证 数据 传输 的 可 徘 性 。 

Keepalive 检测 功能 的 实现 过 程 如 下 。 

(1) 当 GRE 隧道 的 源 端 使 能 Keepalive 检测 功能 后 ， 就 创建 一 个 定时 器 ， 周 期 地 友 
送 Keepalive 探测 报 文 ， 同时 通过 计数 器 进行 不 可 达 计 数 。 每 发 送 一 个 探测 报 文 ， 不 可 
达 计 数 加 1。 

(2) 对 端 每 收 到 一 个 探测 报 文 ， 就 给 源 端 发 送 一 个 回应 报 文 。 

(3) 如 果 源 端的 计数 器 值 未 达到 预先 设置 的 值 就 收 到 回应 报 文 ， 承 表明 对 山 可 达 。 
如 果 源 端的 计数 器 值 到 达 预 先 设 置 的 值 一 一 重 试 次 数 (Retry Times) 时 ， 还 没收 到 回 送 
报 文 ， 就 认为 对 端 不 可 达 。 此 时 ， 源 端 将 关闭 隧道 连接 ， 但 是 隧道 源 接 口 〈 是 指 公 网 接 
口 ， 不 是 Tunnel 接口 ) 仍 会 继续 发 送 Keepalive 报 文 ， 若 某 一 时 间 发 现 对 端 可 达 了 ， 则 
本 端 源 端口 也 会 被 激活 ， 在 两 器 重新 建立 隧道 连接 。 





RE Keepalive 检测 功能 是 单 向 机 制 ， 即 只 要 在 隧道 一 端 配置 人 eepalive 功能 ， 则 
整个 GRE 隧道 就 具备 了 Keepalive 功能 ， 而 不 一 定 要 求 隧 道 对 端 也 配置 Keepalive 功能 。 
隧道 对 端 收 到 报 文 ， 如 果 是 Keepalive 探测 报 文 ， 无论 是 否 配 置 Keepalive 功能 ， 都 会 给 
源 端 发 送 一 个 回应 报 文 。 当 然 , 两 端 都 配置 了 Keepalive 功能 后 , 就 会 启用 双向 Keepalive 
报 文 发 送 功能 ， 实 现 双 向 主动 检测 隧道 通达 性 能 力 。 


6.2 ”GRE 的 主要 应 用 场景 


本 市 介绍 GRE 的 主要 应 用 场景 ， 这 些 应 用 主要 是 依据 GRE 隧道 的 一 些 功 能 特性 来 
实现 的 ， 都 可 以 看 成 是 GRE 的 一 些 具 体 应 用 。 但 要 特别 说 明 的 是 ， 其 实 应 用 最 普遍 的 ， 
在 同 协议 网 络 ( 如 部 是 在 IPv4 网 络 ) 中 实现 远程 网 络 互联 的 GRE VPN 应 用 并 没有 在 下 
面 介 绍 。 


6.2.1 多 协议 本 地 网 可 以 通过 GRE 隧道 隔离 传输 


多 协议 本 地 网 可 以 通过 GRE 隧道 隔离 传输 ， 这 是 GRE 隧道 间 的 通信 可 相互 隔离 的 
特性 的 一 种 基本 应 用 ， 如 图 6-4 所 示 ，Terml 和 Term2 是 运行 IPv6 的 本 地 网 ，Term3 和 
Term4 是 运行 IPv4 的 本 地 网 ， 不 同 地 域 的 子 网 间 需 要 通过 公共 的 IPv4 网 络 互通 。 

通过 在 Router 1 和 Router 2 之 间 末 用 GRE 协议 封装 的 隧道 , TermI 和 Term2、Term3 
和 Term4 可 以 互 不 影响 地 进行 通信 ， 因 为 这 两 组 通信 会 在 不 同 的 GRE 隧道 中 进行 的 ， 
彼此 相互 隅 离 。 所 以 通过 隧道 传输 ， 不 仅 可 以 与 底层 的 公共 骨干 网 通信 隔离 ， 还 可 以 使 
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人 不同 隧道 中 的 通信 相互 隔离 ， 更 加 安全 。 





图 6-4 多 协议 本 地 网 通过 GRE 隧道 传输 示意 图 


6.2.2 坟 大 跳 数 受 限 的 网 络 工作 范围 


GRE 降 道 与 其 他 VPN 降 道 一 样 ， 具 有 逻辑 意义 上 的 直达 性 ， 尽 管 数据 的 转发 仍然 
必须 依靠 公共 网 络 中 的 设备 一 级 一 级 进行 ， 但 是 由 于 报 文 进行 了 重 封装 ， 把 原始 报 文中 
的 一 些 协议 特性 进行 了 屏蔽 ， 使 得 其 中 的 一 些 参数 不 会 在 隧道 传输 过 程 中 发 生变 化 ， 如 
路 由 协议 的 Cost《〈 不 同 路 由 协议 的 Cost 类 型 不 一 样 )。 

在 图 6-5 中 ， 网 络 运 行 IP 协议 ， 假 设 IP 路 由 协议 限制 跳 数 为 23$S。 如 果 两 台 PC 之 
间 的 跳 数 超 过 255， 它 们 将 无 法 通信 。 此 时 ， 如 果 要 两 台 设 备 间 直接 建立 GRE 隧道 ， 就 
可 以 隐藏 设备 之 间 的 跳 数 ， 从 而 扩大 网 络 的 工作 范围 。 如 RIP 路 由 的 跳 数 为 16 时 表示 
路 由 不 可 达 。 此 时 ， 可 以 在 两 台 设 备 上 建立 GRE 隧道 实现 逻辑 直 连 ， 使 经 过 GRE 隧道 


的 RIP 路 由 跳 数 减 至 16 以 下 ， 保 证 路 由 可 达 。 


© 





6-5 通过 GRE 扩大 网 络 工作 范围 的 示意 图 


6.2.3 与 IPSec 结合 ， 保 护 组 播 /广播 数据 


在 前 面 已 介绍 到 ，GRE 不 具有 用 户 身份 认证 功能 和 数据 加 密 功 能 ， 所 以 它 的 安全 性 
较 差 。 也 正 因 如 此 , 通常 情况 下 , 不 是 单独 使 用 GRE 来 建立 VPN 通信 的 , 而 是 结合 IPSec， 
因为 IPSec 具有 强大 的 用 户 映 份 认证 、 数 据 完 整 性 检查 、 数 据 加 密 和 抗 重 放 保护 等 安全 
功能 ， 可 以 为 在 GRE 隧道 中 传输 的 数据 提供 强大 的 安全 保护 。 

当然 ， 就 像 任何 人 既 有 优点 ， 也 有 缺点 一 样 ， 虽 然 IPSec 在 安全 性 方面 比 GRE 要 强 
大 许多 ， 但 是 仍 有 其 他 自身 的 不 足 。 在 单纯 的 IPSec VPN 应 用 中 ， 因 为 IPSec 不 支持 多 
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协议 承载 只 能 对 单 播 数据 进行 加 密 ， 不 能 对 组 播 、 广 播 类 型 数据 进行 协议 重 封 逆 ， 上 所 以 
在 IPSec 隧道 中 是 不 能 传输 组 播 、 广 播 数据 的 。 而 恰好 是 这 一 点 ，GRE 又 具有 独特 的 优 
势 ， 因 为 在 GRE 协议 可 以 对 数据 进行 协议 重 封装 (把 承载 协议 报 文 封装 成 传输 协议 报 
文 )， 即 可 以 承载 多 种 协议 报 文 。 这 样 一 来 ， 当 设备 接收 到 组 播 、 广 播 数据 时 ， 可 以 把 这 
些 数据 作为 GRE 报 文 的 负载 〈 数 据 部 分 )， 然 后 再 在 前 面 加 装 一 个 单 播 卫 报头 ,这样 就 
可 以 通过 单 播 方式 在 GRE 隧道 中 传输 组 播 或 广播 数据 了 ， 到 了 GRE 隧道 对 六 再 还 原 为 
组 播 或 广播 数据 驶 可 以 传输 到 目的 主机 上 了 。 

GRE 在 与 IPSec 的 结合 中 又 有 两 种 不 同 的 结合 方式 : 一 种 称 之 为 GRE over IPSec， 
另 一 种 则 是 IPSec over GRE， 其 实 这 两 种 结合 方式 也 体现 了 对 采用 这 两 种 协议 对 原始 报 
文 分 别 进行 GRE 和 IPSec 封装 的 不 同 先后 顺序 。 别 小 看 这 个 先后 顺序 ， 这 直接 影响 痢 报 
文 可 以 在 隧道 中 传输 的 数据 类 型 ， 以 及 到 达 障 道 对 端的 处 理 方 式 。 

1l. GRE over IPsec 

GRE over IPSec 可 以 理解 为 基于 IPSec 提供 的 数据 保护 基础 上 建立 的 GRE 隧道 ， 即 
数据 仍 是 在 GRE 隧道 中 传输 ， 只 不 过 在 GRE 隧道 之 外 再 加 了 一 层 IPSec 保护 装置 ， 这 
样 一 来 整个 GRE 隧道 都 被 IPSec 保护 了 , 更 别 说 在 GRE 隧道 中 传输 的 数据 了。GRE over 
IPSec 基本 网 络 结构 如 图 6-6 所 示 。 









Internet 


站 
全 GRE over IPSec 是 
tunnel - 


图 6-6 ”GRE over IPSec 基本 网 络 结构 示意 图 


GRE over IPSec 可 利用 GRE 和 IPSec 的 优势 ， 通 过 GRE 将 组 播 、 广 播 和 非 IP 报 文 
封装 成 普通 的 IP 报 文 ， 然 后 再 通过 IPSec 为 封装 后 的 IP 报 文 提供 安全 的 通信 〈 即 原始 
报 文 先 要 经 过 GRE 封装 ， 再 经 过 IPSec 封装 )， 进 而 可 以 提供 在 总 部 和 分 支 之 间 安 全 地 
传送 广播 、 组 播 的 业务 ， 例 如 视频 会 议 或 动态 路 由 协议 消息 等 。 当 然 ，GRE over IPSec 
同样 可 以 传输 单 播 数据 。 

图 6-7 描述 了 GRE over IPSec 方案 中 报 文 封装 和 解 封装 的 流程 。 因 为 在 GRE over 
IPSec 方案 中 使 用 了 IPSec， 所 以 也 就 有 了 IPSec 封装 模式 的 选择 ， 即 可 以 是 IPSec 隧道 
模式 也 可 以 是 IPSec 传输 模式 。 通 过 对 本 书 第 2 章 的 学 习 已 经 知道 ， 隧 道 模式 与 传输 模 
式 相 比 新 增 了 一 个 IP 报头， 导致 报 文 长 度 更 长 ,更 容易 导致 分 片 ， 所 以 推荐 采用 传输 模 
式 。 采 用 传输 模式 时 ， 在 公 网 中 传输 的 报 文 中 包括 了 两 个 卫 报头 ， 里 层 的 为 原始 私 网 IP 
头 ， 外 层 的 为 进行 GRE 封装 时 新 增 的 公 网 卫 报头 ;而 当 采 用 隧道 传输 模式 时 ， 在 公 网 
中 传输 的 报 文 中 包括 了 三 个 IP 报头 ， 除 了 前 面 传输 模式 中 所 具有 的 两 个 IP 报头 之 外 ， 
在 进行 IPSec 封装 时 又 新 增 了 一 个 公 网 IP 报头 。 

当 采 用 隧道 模式 时 ,在 进行 IPSec 封装 的 过 程 中 所 增加 的 了 王 报 头 的 源 卫 地 址 为 IPSec 


320 华为 VPN 学 习 指南 


网 关 应 用 IPSec 安全 策略 的 公 网 接口 地 址 ， 目 的 卫 地 址 为 IPSec 对 等 体 中 应 用 IPSec 安 
全 策略 的 公 网 接口 地 址 。IPSec 需要 保护 的 数据 流 为 从 GRE 起 点 到 GRE 终点 的 数据 流 。 
GRE 封装 过 程 中 增加 的 IP 报头 的 源 卫 地 址 为 GRE 隧道 的 源 端 IP 地 址 〈 也 是 本 端的 公 
网 IP 地 址 ), 目的 地 址 为 GRE 隧道 的 目的 端 IP 地 址 (也 是 对 端的 公 网 IP 地 址 ), 与 IPSec 
封装 时 的 源 IP 地 址 和 目的 IP 地 址 一 样 。 因 此 只 要 根据 GRE 隧道 的 源 / 目 的 IP 地 址 来 定 
义 需 要 IPsec 保护 的 数据 流 即 可 ， 不 需要 关注 原始 报 文 的 源 / 目 的 IP 地 址 ， 从 而 简化 了 
IPsec 的 配置 。 








人 GRE 封 装 、,/  、\、 ~ 
六 / X IPSec 解 封装 、 
i A GRE 解 封装 
加 和 
2 .两 种 IPSec 封装 方式 


传输 模式 隧道 模式 


六 





图 6-7 ”GRE over IPSec 报 文 封装 和 人 解 封装 流程 


2. TPSéec over GRE 

IPSec over GRE 可 理解 为 基于 GRE 构建 PSec 隧道 ， 是 对 原始 数据 进行 IPSec 封 靖 
(此 时 要 创建 IPSec 封装 的 Tunnel 接口 ), 把 PPSec 安全 框架 应 用 在 IPSec Tunnel 接口 上 ， 
保护 的 是 原始 用 户 数据 报 文 ， 然 后 再 进行 GRE 封装 ， 这 时 封装 的 GRE 报头 ， 以 及 后 来 
新 增 的 卫 报头 都 不 受 IPSec 保护 了 。 
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【经 验 提示 】〗 因 为 GRE 不 兼容 IPSec 封装 的 Tunnel 接口 类 型 ， 所 以 在 IPSec over 需 
GRE 方案 中 ， 需 要 再 创建 GRE 封装 的 Tunnel 接口 。 而 IPSec 兼容 GRE 封装 的 Tunnel 
接口 类 型 ， 所 以 在 GRE over IPSec 方案 中 ，IPSec 隧道 直接 利用 了 GRE 封装 的 Tunnel 
接口 来 应 用 IPSec 安全 框架 

由 于 数据 最 终 是 经 过 GRE 封装 的 ， 所 以 仍然 需要 从 GRE Tunnel 接口 进行 转发 。 此 
时 需要 GRE Tunnel 接口 作为 IPSec Tunnel 接口 的 隧道 源 接口 ， 让 凡是 通过 路 由 指定 由 
GRE Tunnel 接口 的 数据 都 进行 IPSec 保护 。 

从 以 上 分 析 可 以 看 出 ，IPSec over GRE 方案 并 没有 特别 的 优势 ， 而 且 在 配置 方面 相 
对 GRE over IPSec 方案 更 为 复杂 ， 上 所 以 通常 不 采用 。 





有 关 GRE over IPSec 方案 的 具体 配置 方法 参见 本 章 6.4.5 节 介 绍 的 示例 ， 有 关 
IPSec over GRE 方案 的 具体 配置 方法 参见 本 章 6.4.6 节 介 绍 的 示例 。 


6.2.4 ”CE 采用 GRE 隧道 接 入 MPLS VPN 


在 MPLS VPN 中 ， 为 了 让 用 户 端 设备 CE (Customer Edge) 接 入 VPN 中 往往 需要 

CE 与 MPLS 骨干 网 的 PE (Provider Edge) 设备 之 间 有 直接 的 物理 链 路 ， 即 在 同一 个 网 

络 中 。 在 这 样 的 组 网 中 ， 需 要 在 PE 上 将 VPN 与 CE 连接 的 物理 接口 进行 关联 。 但 实际 

组 网 中 , 并 非 所 有 的 CE 和 PE 都 能 用 物理 链 路 直接 相连 。 例如 , 很 多 已 经 连接 到 Internet 

或 基于 IP 技术 的 骨干 网 上 的 机 构 ， 其 CE 和 PE 设备 之 间 地 理 位 置 上 相距 其 远 ， 不 可 能 

直接 接 入 到 MPLS 骨干 网 的 PE 设备 上 ， 如 图 6-8 所 示 。 这 样 就 无 法 通过 Internet 或 者 是 
骨干 网 直接 访问 MPLS VPN 内 部 的 站 点 。 


IP/MPLS 
骨干 网 





图 6-8 ”CE 使 用 基于 IP 技术 的 骨 ee En 青 形 


为 了 让 CE 也 能 接 入 到 MPLS VPN 中 ， 可 以 考虑 在 CE 和 PE 之 间 创 建 “ 逻 辑 上 的 
直 连 ”。 也 就 是 说 ， 可 以 在 CE 和 PE 间 利 用 公共 网 络 或 某 私 有 网 络 相 连 ， 并 在 CE 与 PE 
之 间 创 建 GRE 隧道 。 这 样 ， 可 以 看 成 CE 和 PE 直 连 。 在 PE 上 将 VPN 与 PE-CE 之 间 的 
接口 进行 天 联 时 , 就 可 以 把 GRE 隧道 当 作 一 个 物理 接口 , 在 这 个 接口 上 进行 VPN 关联 。 

采用 GRE 隧道 接 入 MPLS VPN 时 ，GRE 的 实现 模式 可 按 以 下 三 种 情形 来 划分 。 

。 穿 过 公 网 的 GRE: GRE 隧道 关联 某 个 VPN 实例 ，GRE 隧道 的 源 地 址 和 目的 地 址 
为 公 网 地 址 ， 不 属于 VPN 实例 。 

。 军 越 VPN 的 GRE: GRE 隧道 关联 某 个 VPN 实例 (例如 VPN1)，GRE 隧道 的 源 
接口 绑 定 了 另 一 个 VPN 实例 (例如 VPN2)， 即 GRE 隧道 需要 穿越 VPN2。 

e 私有 网 络 的 GRE: GRE 隧道 关联 某 个 VPN 实例 ， 而 GRE 隧道 的 源 接 口 (或 源 
地 址 ) 和 目的 地 址 也 属于 该 VPN 实例 。 

下 面 分 别 介绍 以 上 三 种 情形 。 
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1. 穿 过 公 网 的 GRE 

如 图 6-9 所 示 ，VPN1 中 的 CE1 与 IP 或 MPLS 骨干 网 的 PE1 之 间 并 没有 物理 直接 
连接 ， 正 常情 况 下 ，VPN1 中 的 CE 是 无 法 通过 骨干 网 实现 VPN1 两 站 点 连接 的 。 但 由 
于 CE1 和 PEI1 都 是 直接 与 公 网 连接 的 ， 都 有 属于 公 网 的 接口 ， 使 用 公 网 IP 地 址 ， 所 以 
可 在 CE1 与 PE1 之 间 通 过 GRE 建立 隧道 ， 实 现 CE1 与 PE1 之 间 的 虚拟 直 连 。 但 此 时 ， 
CE 的 公 网 路 由 表 中 需要 有 到 PE 的 路 由 ，PE 公 网 路 由 表 也 需要 有 到 CE 的 路 由 。 

2. 穿越 VPN 的 GRE 

如 图 6-10 所 示 ，CE1 与 PE1 也 没有 物理 直 连 , 而 是 通过 男 一 个 VPN (VPN2) 连接 。 
也 就 是 说 ，CE 上 流向 PE 的 私 网 数据 的 出 接口 及 PE 上 返回 该 CE 的 私 网 数据 流量 的 出 
接口 都 属于 VPN2。PE1 和 PE2 是 一 级 运营 商 的 MPLS 骨干 网 边界 设备 。VPN2 是 属于 
二 级 运营 商 的 一 个 VPN。CE1 和 CE2 是 属于 用 户 的 设备 。 为 了 在 此 网 络 环境 中 部 署 一 
个 基于 MPLS 网 络 的 VPN (如 VPN1)， 可 以 在 PE1 和 CEI 之 间 建 立 一 条 穿越 VPN2 的 
GRE 隧道 ， 在 逻辑 上 使 CE1 与 PE1 直 连 。 

一 级 运营 商 





6-9 ”通过 穿越 公 网 的 GRE 隧道 实现 图 6-10 通过 穿越 VPN 的 GRE 隧道 实现 
CE 与 PE 直 连 的 示意 图 CE 与 PE 直 连 的 示意 图 


3. 私有 网 络 的 GRE 

如 图 6-11 所 示 ，CE1 和 PE1 也 没有 直接 的 物理 连接 ， 而 是 通过 一 个 私有 网 络 连接 。 
这 时 也 可 以 在 私有 网 络 中 为 CE1 和 PE1 建立 一 条 GRE 隧道 ， 隧 道 的 源 和 目的 地 址 都 属 
于 私有 网 络 。 但 在 实际 的 应 用 中 ， 在 私有 网 络 里 再 创建 一 个 隧道 到 PE， 没 有 什么 价值 ， 
因此 不 推荐 使 用 。 在 图 6-11 中 ， 不 如 直接 使 用 R1 作为 CE 设备 。 









GRE Tunnel () IPF/MPLS 
骨干 网 


图 6-11 通过 私有 网 络 的 GRE 隧道 实现 CE 与 PE 直 连 的 示意 图 
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6.3 GRE VPN 配置 与 管理 


本 章 仅 介绍 在 IPv4 环境 中 的 GRE VPN 应 用 配置 与 管理 方法 。 在 配置 GRE 隧道 之 
前 ， 需 保证 隧道 源 接口 和 目的 接口 之 间 的 路 由 可 达 。 


6.3.1 ”配置 任务 


一 般 情况 下 可 按照 以 下 顺序 来 配置 GRE 隧道 。 对 于 可 选 步骤 ， 请 根据 实际 情况 选 
择 配置 。 只 有 当 FR、HDLC 或 PPP 协议 的 报 文通 过 GRE 隧道 透 传 时 ， 才 需要 《可 选 ) 
配置 Link-bridge 功能 ， 且 无 需 配 置 Tunnel 接口 的 路 由 。 

(1) 配置 Tunnel 接口 

GRE 隧道 是 通过 隧道 两 端的 Tunnel 接口 建立 的 ， 所 以 需要 在 隧道 两 端的 设备 上 分 
别 配置 Tunnel 接口 。GRE Tunnel 接口 是 三 层 人 逻辑 接口 ， 需 要 为 它 配 置 卫 地 址 (通常 是 
配置 一 个 私 网 IP 地 址 )， 才 能 使 其 IP 协议 生效 。 男 外 ， 逻 辑 的 Tunnel 接口 需要 与 真正 
用 于 数据 发 送 和 接收 的 物理 接口 进行 绑 定 ， 这 是 通过 配置 Tunnel 接口 的 源 IP 地 址 或 源 
接口 、 目 的 了 P 地 址 来 实现 的 。 除 此 之 处 ， 对 于 GRE 的 Tunnel 接口 ， 需 要 指定 其 封装 协 
议 类 型 为 GRE， 使 它 可 以 在 GRE 隧道 中 传输 单 播 和 组 播 数据 。 






“在 GRE VPN 的 应 用 中 ,隧道 两 端的 GRE 设备 连接 公共 网 络 的 接口 通常 是 配置 固 
定 的 IP 地址 , 但 也 可 以 是 动态 获取 的 (但 此 时 所 配置 的 接口 地 址 必须 是 当前 所 获取 的 了 
地 址 )， 只 要 能 确保 GRE 隧道 两 端 通过 公 网 能 够 互通 即 可 。 


(2) 配置 Tunnel 接口 的 路 由 

在 保证 本 端 设备 和 远 端 设备 在 骨干 网 上 路 由 互通 的 基础 上 ， 本 端 设 备 和 远 端 设备 上 
必须 存在 经 过 Tunnel 接口 转发 的 路 由 ， 这 样 需要 进行 GRE 封装 的 报 文 才能 正确 转发 。 
其 实 也 就 是 相当 于 为 需要 经 过 GRE 隧道 传输 的 数据 流 进行 定义 , 即 凡是 以 此 路 由 的 数据 
流 都 是 通过 Tunnel 接口 进行 转发 的 。 经 过 Tunnel 接口 转发 的 路 由 可 以 是 静态 路 由 ， 也 
可 以 是 动态 路 由 。 






TY 当 FR、HDLC 或 PPP 协议 的 报 文通 过 GRE 隧道 透 传 时 ， 无 需 配 置 Tunnel 接口 
路 由 ， 因 为 此 时 是 通过 配置 的 下 面 将 要 介绍 的 Link-bridge 功能 来 实现 报 文 通过 Tunnel 
接口 转发 。 

(3)〔 可 选 ) 配置 Link-bridge 功能 

这 是 一 项 可 选 配 置 任务 。 对 于 FR、HDLC、PPP 或 以 太 网 协议 的 二 层 报 文 ， 用 户 希 
望 通过 GRE 隧道 使 其 能 够 在 另 一 个 网 络 〈 如 IPv4) 中 透 传 时 ， 则 需要 配置 Link-bridge 
功能 。 它 可 使 得 Serial、Ethernet、GE、XGE 或 VLANIF 接口 和 Tunnel 接口 形成 绑 定 关 
系 ， 在 这 些 接口 收 到 的 报 文 可 以 直接 从 所 绑 定 的 Tuennel 接口 发 送出 去 ， 最 终 实 现 GRE 
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隧道 承载 FR、HDLC、PPP 和 以 太 协 议 的 报 文 。 

(4)〈 可 选 ) 配置 GRE 的 安全 机 制 

这 也 是 一 项 可 选 配置 任务 。 为 了 增强 GRE 隧道 的 安全 性 ， 可 以 对 GRE 隧道 两 端的 
Tunnel 接口 配置 校 验 和 功能 和 识别 关键 字 ， 通 过 这 种 安全 机 制 防止 错误 识别 、 接 收 来 自 
其 他 地 方 来 的 报 文 。 

(5)( 可 选 ) 使 能 GRE 的 Keepalive 检测 功能 

这 也 是 一 项 可 选 配 置 任务 ， 主 要 目的 就 是 通过 发 送 Keepalive 报 文 ， 以 便 能 及 时 地 
检测 到 GRE 隧道 的 连通 性 ， 以 免 造 成 数据 丢失 。 

从 以 上 配置 任务 介绍 可 知 ，GRE 的 配置 其 实 很 简单 ， 必 须要 进行 的 配置 总 体 来 说 束 
是 GRE 隧道 两 端的 Tunnel 接口 的 配置 ， 包括: Tunnel 接口 IP 地 址 、 封 装 协 议 类 型 (此 
处 必须 为 GRE)、 绑 定 的 源 IP 地 址 或 源 接口 ， 对 端的 IP 地 址 等 基本 参数 配置 ， 以 及 ， 
以 Tunnel 接口 作为 出 接口 的 路 由 配置 (可 以 是 静态 路 由 也 可 以 是 动态 路 由 )， 或 者 指定 
Tunnel 接口 所 要 绑 定 的 接口 〈 仅 适用 于 传输 PPP、HDLC、 或 以 太 网 报 文 )， 以 定义 哪些 
用 户 数据 流 可 以 通过 GRE 隧道 传输 。 


6.3.2 配置 Tunnel 接口 


在 GRE Tunnel 接口 的 配置 中 , 除了 要 配置 其 IP 地 址 和 封装 的 隧道 协议 GRE 外 ,还 
要 配置 通过 该 接口 进行 传输 的 源 卫 地 址 和 目的 卫 地 址 。 因 为 Tunnel 接口 是 一 个 逻辑 接 
口 ， 不 可 能 真正 用 于 数据 的 传输 ， 通 过 指定 源 地 址 和 目的 地 址 就 相当 于 与 对 应 的 物理 接 
口 进行 了 绑 定 ， 实 际 的 数据 发 送 和 接收 还 是 通过 物理 接口 、 物 理 线路 进行 的 。 

下 面 以 图 6-12 所 示 的 GRE 网 络 结构 为 例 介 绍 这 三 种 地 址 (假设 Term 1 中 的 用 户 要 
发 送 数 据 到 Term 2 中 的 用 户 ): 

e。 Tunnel 的 源 IP 地 址 或 源 接口 : 实际 发 送 报 文 的 接口 IP 地 址 或 实际 发 送 报 文 的 接 
口 ， 是 物理 接口 。 如 图 中 Router 1 的 GE1/0/0 接口 的 IP 地 址 就 是 该 路 由 器 上 Tunnel 的 
源 IP 地 址 , 该 接口 就 是 Tunnel 的 源 接 口 。 

e Tunnel 的 目的 端 IP 地 址 : 实际 接 









收报 文 的 接口 IP 地 址 ， 是 隧道 对 端 实际 GE1/0/0 GE1/0/0 
接收 报 文 的 物理 接口 的 人 P 地 址 (从 中 可 Rover 个 Router 2 
以 看 出 ,隧道 两 端 连接 公共 网 络 的 接口 必 “GE200 | 9 Wwe JGezyon 


须 有 静态 IP 地 址 )。 如 图 6-12 中 Router 2 
的 GE1/0/0 接 口 的 全 地 址 就 是 该 路 由 器 上 


X 众说 网 络 
erm 
Tunnel 的 目的 了 PP 地 址 ,该 接口 就 是 Tunnel 


的 目的 接口 。 图 6-12”GRE 网 络 结构 示例 
【经 验 提示 】〗Tunnel 的 源 卫 地 址 和 目的 瑟 地址 都 不 是 Tunnel 接口 上 配置 的 卫 地址 ， 
而 是 所 绑 定 的 接口 的 IP 地 址 ,通常 是 GRE 设备 直接 连接 公共 网 络 的 物理 接口 的 IP 地 址 ， 
该 接口 也 是 真正 用 于 发 送 和 接收 两 远程 子 网 通信 报 文 的 接口 。 
e Tunnel 接口 IP 地 址 : 为 了 在 Tunnel 接口 上 启用 动态 路 由 协议 ， 或 使 用 静态 路 由 
协议 发 布 Tunnel 接口 (如 图 6-12 中 的 Tunnel0/0/1 和 Tunnel0/0/2 接口 )， 需 要 为 Tunnel 
接口 分 配 IP 地 址 。Tunnel 接口 的 IP 地 址 可 以 不 是 公 网 地 址 ， 甚 至 可 以 借用 其 他 接口 的 
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IP 地 址 以 节约 IP 地 址 。 但 是 当 Tunnel 接口 借用 IP 地 址 时 ， 由 于 Tunnel 接口 本 喘 没 有 
IP 地 址 ， 无 法 在 此 接口 上 启用 动态 路 由 协议 ， 必 须 配 置 静态 路 由 或 策略 路 由 才能 实现 设 
备 间 的 连通 性 。 

GRE Tunnel 接口 的 具体 配置 步骤 如 表 6-1 所 示 。 
表 6-1 配置 GRE Tunnel 接口 的 步骤 





进入 系统 视图 


创建 Tunnel 接口 ， 并 进入 Tunnel 接口 视图 。Tunnel 接 
口 的 格式 为 “ 槽 位 号 /卡号 /端口 号 ” 模 位 号 、 卡 号 均 
为 整数 形式 ， 取 值 与 具体 的 AR G3 系列 路 由 器 有 天 ; 
端口 号 为 整数 形式 。 

【说 明 】Tunnel 接口 编号 只 具有 本 地 意义 ， 隧 道 两 端 配 
置 的 Tunnel 接口 编号 可 以 不 同 。 

缺 省 情况 下 ， 系 统 未 创建 Tunnel 接口 ， 可 用 undo 
interface tunnel interface-number 命令 删除 指定 的 Tunnel 
接口 ， 但 如 果 Tunnel 正在 被 使 用 ， 删 除 后 会 影响 使 用 
该 Tunnel 的 业务 


配置 Tunnel 接口 的 隧道 协议 为 GRE。 
【说 明 】 必 须 先 指定 隧道 协议 后 才能 进行 隧道 的 源 地 址 
tunnel-protocol gre 及 其 他 参数 的 配置 ， 人 和 修改 隧道 封装 模式 会 删除 该 隧道 
3 例如 : [Huawei-Tunnel0/0/1] tunnel- | 下 已 配置 的 相关 参数 
protocol gre 缺 省 情况 下 ，Tunnel 接口 的 隧道 协议 为 none， 即 不 进 
行 任何 协议 封装 ， 可 用 undo tunnel-protocol 命令 恢复 
缺 省 配置 


配置 Tunnel 的 源 地 址 或 源 接 口 ， 以 实现 源 Tunnel 接口 
与 真正 发 送 数 据 报 文 的 接口 进行 绑 定 。 命 令 中 的 参数 
说 明 如 下 。 

e source-ip-address: 二 选 一 参数 ， 指 定 真 正 发 送 数 据 
报 的 接口 的 他 地址， 通常 是 某 物理 接口 的 IP 地址 。 

e interface-type interface-number: 二 选 一 参数 ,指定 真 
正 发 送 数 据 报 的 接口 ， 通 常 是 某 物理 接口 。 

【注意 】Tunnel 的 源 接口 不 能 指定 为 自身 GRE 隧道 的 
Tunnel 接口 ， 但 可 以 指定 为 其 他 隧道 的 Tunnel 接口 
作为 本 GRE 隧道 的 源 接口 ;Tunnel 的 源 IP 地 址 可 以 
配置 为 VRRP 备份 组 的 虚 地 址 ， 但 不 可 为 Bridge-if 
接口 。 

在 GRE over IPSec 中 ， 如 果 采 取 的 是 隧道 封装 模式 ， 
系统 是 文 持 配置 两 个 或 两 个 以 上 Tunnel 接口 配置 相同 
的 源 IP 地 址 和 目的 IP 地 址 ， 此 时 通过 是 不 同 的 GRE 
Key 字段 来 区 分 。 除 此 之 外 , 不 能 对 两 个 或 两 个 以 上 使 
用 同 种 封装 协议 的 Tunnel 接口 配置 完全 相同 的 源 地 址 
和 目的 地 址 。 

缺 省 情况 下 ， 系 统 不 指定 隧道 的 源 地 址 或 源 接口 ， 可 
用 undo source 命令 删除 配置 的 Tunnel 源 地 址 或 源 
接口 


interface tunnel interface-number 


2 例如 : [Huawei] interface tunnel 
0/0/1 


source { source-ip-address | 
interface-type interface-number } 


例如 : [Huawei-Tunnel0/0/1] 
source 10.1.1.1 
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destination [ vpn-instance vpn- 
instance-name | dest-ip-address 
例如 : [Huawei-Tunnel0/0/1] 
destination 1.1.1.1 


tunnel route-via interface-type 
interface-number { mandatory | 
preferred } 

例如 : [Huawei-Tunnel0/0/1] tunnel 
route-via GigabitEthernet 0/0/1 
mandatory 





( 续 表 ) 
说 明 


| 配置 Tunnel 的 目的 地 址 ， 以 实现 目 的 re 


正 接收 数据 报 文 的 接口 进行 绑 定 。 命 令 中 的 参数 说 明 
下。 

e vpn-instance-name: 可 选 参数 ,指定 隧道 的 目的 地 址 
所 属 的 VPN 实例 的 名 称 。 当 Tunnel 为 点 到 点 的 GRE 
模式 和 IPSec 模式 时 可 以 指定 该 参数 ， 如 果 CE 设备 通 
过 GRE 隧道 连接 到 PE, 则 PE 上 配置 Tunnel 的 目的 地 
址 时 , 需要 指定 VPN 实例 , 将 Tunnel 接口 加 入 私 网 路 
由 表 。 

e dest-ip-address: 指定 直 正 接收 数据 报 文 的 接口 的 全 
地 址 ， 通 常 是 某 物理 接口 的 IP 地 址 。 

【注意 】 对 于 GRE 隧道 封装 模式 ， 系 统 是 支持 配置 两 
个 或 两 个 以 上 源 地 址 和 目的 地 址 相同 的 Tunnel 接 
口 , 通过 不 同 的 GRE Key 字段 来 区 分 这 些 Tunnel 接 
口 。 除 了 GRE 隧道 封装 模式 之 外 ， 系 统 中 不 能 同时 
配置 两 条 封装 模式 、 源 地 址 和 目的 地 址 均 相 同 的 
Tunnel 接口 。 

缺 省 情况 下 ， 没 有 配置 Tunnel 接口 的 目的 地 址 ， 可 用 
undo destination 命令 删除 Tunnel 接口 的 目的 地 址 


(可 选 ) 指定 GRE 隧道 的 路 由 出 接口 。 命 令 中 的 参数 
和 选项 说 明 如 下 。 

e interface-type interface-number: 指定 GRE 隧道 的 路 
由 出 接口 。 

e mandatory: 严格 按照 指定 的 出 接口 转发 流量 ， 如 果 
GRE 隧道 目的 地 址 的 路 由 出 接口 不 包含 指定 的 出 接口 
时 ， 隧 道 接口 状态 为 Down， 不 进行 流量 转发 。 

。 preferred: 优先 按照 指定 的 出 接口 转发 流量 ， 如 
果 GRE 隧道 目的 地 址 的 路 由 出 接口 不 包含 指定 的 出 
接口 时 ， 则 可 以 选择 其 他 接口 转发 ， 隧 道 接口 状态 
为 Up。 

GRE 隧道 封装 后 的 报 文 将 查找 路 由 转发 表 进 行 转发 ， 
如 果 GRE 隧道 的 目的 了 人 P 地 址 存在 等 价 路 由 , 且 存 在 多 
条 目的 地 址 相同 的 GRE 隧道 时 ， 则 这 些 GRE 隧道 封 
装 的 报 文 将 以 负载 分 担 进行 转发 。 此 时 某 些 GRE 隆 进 
封装 后 报 文 的 实际 出 接口 可 能 是 男 一 个 隧道 的 源 人 P 接 
口 。 如 果 该 链 路 上 下 一 跳 设 备 配 置 了 URPF (Unicast 
Reverse Path Forwarding， 单 播 逆 向 路 径 发 ) 检测 ， 则 
以 报 文 的 源 全 作为 目的 了 P, 在 转发 表 中 查找 源 IP 对 应 
的 接口 是 否 与 入 接口 匹配 ， 因 此 会 发 现 报 文 源 IP 对 应 
的 接口 与 报 文 的 入 接口 不 一 致 ， 则 认为 报 文 非 法 并 丢 
弃 。 为 了 解决 这 个 问题 ， 可 以 配置 本 命令 指定 GRE 降 
道路 由 出 接口 ， 使 报 文 严格 或 优先 从 隧道 的 源 IP 地 址 
所 在 的 出 接口 转发 。 

缺 省 情况 下 ， 未 指定 GRE 隧道 的 路 由 出 接口 ， 可 用 


undo tunnel route-via we interface-number 
{ mandatory | preferred } 命令 撤销 为 GRE 隧道 的 路 
由 指定 的 出 接口 
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( 续 表 ) 
说 明 
(可 选 ) 配置 Tunnel 接口 的 MTU， 整 数 形式 ， 单 位 为 
字 节 。 取 值 范 围 是 128 一 9202 


mtu miu 如 果 改 变 Tunnel 接口 最 大 传输 单元 MTU, 需要 先 对 接 
7 例如 : [Huawei-Tunnel0/0/1] mtu | 口 执行 shutdown 命令 , 再 执行 undo shutdown 命令 将 


1492 接口 重启 ， 以 保证 设置 的 MTU 生效 

缺 省 情况 下 ，Tunnel 接口 的 MTU 值 为 1500 个 字 节 ， 
可 用 undo mtu 命令 恢复 Tunnel 接口 MTU 的 缺 省 配置 
(可 选 ) 配置 接口 的 描述 信息 ， 字 符 串 形式 ， 长 度 范围 
是 1 一 242， 区 分 大 小 写 ， 支 持 空 格 。 

缺 省 情况 下 ，Tunnel 接口 默认 擅 述 信息 为 “HUAWEL 
AR Series, Tunnel interface-number Interface”。 例 如 ， 缺 
省 情况 下 ，Tunnel0/0/1 接口 默认 描述 信息 为 “HUAWEL， 
AR Series, Tunnel0/0/1 Interface”。 可 用 undo description 
命令 删除 当前 Tunnel 接口 的 描述 信息 

(二 选 一 ) 配置 Tunnel 接口 的 主 、 从 IPv4 地 址 。 

ip address ip-address { mask | 【注意 】 因 为 Tunnel 接口 运行 的 链 路 层 协 议 为 PPP， 而 
mask-length } [ sub ] 在 串 行 链 路 中 ,两 端的 IP 地 址 是 可 以 在 不 同人 网 段 的 ， 
例如 : [Huawei-Tunnel0/0/1] ip 所 以 虚拟 点 对 点 连接 的 GRE 隧道 两 端的 Tunnel 接 口 的 
address 10.1.0.1 255.255.255.0 IP 地 址 可 以 不 在 同一 IP 网 段 ， 也 可 实现 路 由 畅通 的 。 
但 通常 是 把 它们 的 IP 地 址 配置 在 同一 IP 网 段 


description text 


8 例如 : [Huawei-Tunnel0/0/1] 
description This ls a tunnel from 
人 


ip address unnumbered interface 

interface-type interface-number 

例如 : [Huawei-Tunnel0/0/1] ip (二 选 一 ) 配置 Tunnel 接口 借用 其 他 接口 的 IP 地址 
address unnumbered interface 

loopback 0 





6.3.3 ”配置 Tunnel 接口 的 路 由 


在 Tunnel 接口 上 配置 路 由 的 目的 其 实 就 是 为 了 定义 需要 由 Tunnel 接口 转发 的 私 同 
网 数据 流 。 可 以 采用 静态 或 动态 路 由 配置 方式 ,下 面 同样 以 图 6-12 为 例 介绍 在 配置 Tunnel 
接口 路 由 时 的 一 些 注意 事项 : 

。 配置 静态 路 由 时 ， 源 端 设备 和 目的 端 设备 都 需要 配置 : 此 路 由 目的 地 址 是 未 进行 
GRE 封装 的 报 文 的 原始 目的 卫 地 址 (Router 2 的 GE2/0/0 所 在 的 网 段 地 址 , 即 目 的 主机 
的 卫 地 址 )， 出 接口 是 本 端 Tunnel 接口 (Router_1 的 Tunnel0/0/1 接口 )。 

。 配置 动态 路 由 协议 时 ， 在 Tunnel 接口 和 与 X 网 络 协议 相连 的 入 接口 上 都 要 使 用 
相同 动态 路 由 协议 。 

例如 在 图 6-12 中 ， 如 果 使 用 动态 路 由 协议 配置 Tunnel 接口 的 路 由 ， 则 Tunnel 接口 
和 接 入 X 网络 协议 的 GE2/0/0 接口 上 都 需要 配置 动态 路 由 协议 ， 并 且 路 由 表 中 去 往 目 的 
网 段 (Router 2 的 GE2/0/0 网 段 ) 路 由 的 出 接口 是 本 疹 降 道 接口 Tunnel0/0/1。 

【经 验 提 示 】〗 当 采 用 动态 路 由 协议 进行 配置 时 ， 骨 干 网 所 使 用 的 动态 路 由 协议 与 包 
括 Tunnei 接口 网 段 和 用 户 网 络 所 使 用 的 路 由 协议 最 好 不 同 。 如 果 它 们 之 间 要 采用 相同 
的 动态 路 由 协议 ， 也 不 要 采用 相同 的 路 由 进程 ， 因 为 私 网 数据 报 文 是 不 能 在 公 网 上 被 
转发 的 。 
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当 FR、HDLC 或 PPP 协议 的 报 文通 过 GRE 隧道 透 传 时 ， 不 需要 配置 Tunnel 接口 路 
由 ， 即 不 需要 配置 本 项 配置 任务 。 

采用 静态 路 由 配置 方式 中 ， 只 需 在 系统 视图 下 通过 ip route-static ip-address { mask | 
mask-length } { nexthop-address | tunnel interface-number [ nexthop-address | } [ description 
text ] 命 令 配 置 即 可 。 通常 是 指 指定 以 本 地 Tunnel 接口 为 出 接口 即 可 , 无 需 指定 下 一 跳 IP 
地 址 ， 因 为 Tunnel 接口 的 链 路 层 协 议 是 PPP。 

采用 动态 路 由 配置 方式 时 ， 可 以 采用 包括 OSPF、RIP、IS-IS 等 路 由 协议 。 


6.3.4 配置 可 选 配置 任务 


本 节 要 对 6.3.1 节 介 绍 的 配置 任务 中 后 面 三 项 可 选 配置 任务 的 具体 配置 方法 进行 集 
中 介绍 ， 包 括 配置 Link-bridge 功能 、 配 置 GRE 的 安全 机 制 和 使 用 GRE 的 Keepalive 检 
训 功 能 的 配置 。 

1， 配 置 Link-bridge 功能 

本 项 配置 仅 适 用 于 FR、HDLC、PPP 或 以 太 网 协议 的 二 层 报 文 要 通过 GRE 隧道 传 
输 时 , 起 到 链 路 桥接 的 作用 ,就 是 把 Serial、 Ethermet、GE、XGE 或 VLANIF 接口 和 Tunnel 
接口 形成 绑 定 关系 ,使 得 从 这 些 接口 上 的 报 文 从 Tunnel 接口 进行 转发 。 这 与 前 面 介绍 的 
Tunnel 接口 路 由 配置 的 作用 是 相似 的 ， 只 不 过 这 里 是 针对 二 层 报 文 采用 的 桥接 方式 进行 
Tunnel 接口 的 绑 定 。 

Link-bridge 功能 的 配置 方法 是 在 系统 视图 下 通过 link-bridge tag-id interface interface- 
type interface-number out-interface interface-type interface-number [ untagged | tagged v/an 
id ] 命令 ， 配 置 绑 定 设备 入 接口 与 出 接口 的 功能 ， 从 绑 定 的 入 接口 进入 的 报 文 会 从 绑 定 
的 出 接口 友 出 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

。 tag-id: 指定 Link-bridge 的 Tag ID 值 ， 整 数 形 式 ， 取 值 范 围 是 1 一 65535。 

e interface interface-type interface-number: 指定 Link-bridge 的 入 接口 ， 对 于 FR、 
HDLC、PPP 报 文 ， 设 备 入 接口 只 支持 Serial 接口 ， 对 于 以 太 报 文 ， 设 备 入 接口 只 支持 
Ethernet、GE、XGE 和 VLANIF 接口 。 

e out-interface interface-type interface-number: 指定 Link-bridge 的 出 接口 ， 只 文 持 
Tunnel 接口 。 

。 untagged: 二 选 一 选项 ， 指 定 以 太 网 报 文 不 携带 Tag 标记 ， 仅 适用 于 以 太 网 报 文 。 

。 tagged vlan id: 二 选 一 选项 ， 指 定 以 太 报 文 经 隧道 转 上 友之 六 添加 的 VLAN ID， 整 
数 形 式 ， 取 值 范 围 是 1 一 4094。 

缺 省 情况 下 ， 系 统 没 有 绑 定 设备 入 接口 与 出 接口 ， 可 用 undo link-bridge tag-id 命 
删除 指定 链 路 桥接 ID 下 配置 的 设备 入 接口 与 出 接口 的 绑 定 关系 。 





在 配置 链 路 桥接 功能 时 要 注意 以 下 几 个 方面 。 

e 配置 后 ， 入 接口 协议 状态 显示 为 doWn， 而且 入 接口 上 的 网 络 层 配置 不 生效 ， 仅 
做 桥接 功能 。 

e 配置 后 ， 绑 定 的 接口 (包括 入 接口 和 出 接口 ) 不 支持 QOS 功能 
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e 不 同 的 Link-bridge 需要 配置 不 同 的 Tag ID, 保持 Tag ID 全 局 唯一 。 若 配置 相同 


会 提示 Error 信息 。 


。 一 个 物理 接口 只 能 配置 一 个 Link-bridge， 如 果 两 个 Link-bridge 配置 的 接口 一 致 ， 


会 提示 Error 信息 。 


e 一 个 Tunnel 接口 只 能 配置 一 个 Link-bridge， 如 果 两 个 Link-bridge 配置 的 接口 一 


致 ， 会 提示 Error 信息 。 


e 是 否 配 置 UnTagged 模式 表示 在 GRE 隧道 中 的 以 太 报 文 是 否 保 存 VLAN 标签 ,为 
了 保证 流量 能 在 隧道 中 传输 ， 用 户 可 以 根据 自己 组 网 需求 来 选择 是 否 配 置 UnTagged 模 
式 。 报 文 传输 的 规则 如 表 6-2 所 示 。 


表 6-2 






接口 类 型 | 流 传输 方向 


从 以 太 网 接口 到 
Tunnel 接口 
二 层 以 太 
网 接口 
从 Tunnel 接 口 到 
以 太 网 接口 


从 以 太 网 接口 到 
Tunnel 接 
三 层 以 太 
网 接口 
从 Tunnel 接 口 到 
以 太 网 接口 


从 VLANIF 接口 
到 Tunnel 接口 

VLANIF 
接口 


从 Tunnel 接口 到 
VLANIF 接口 


如 果 报 文 携带 的 VLAN ID 等 于 


以 太 网 报 文 携带 Tag 标记 时 | 


PVID, 则 剥离 Tag, 否则 透 传 处 理 。 
类 似 于 Trunk 端口 的 传输 规则 


透 传 报 文 ， 不 做 特殊 处 理 。 类 似 于 
Trunk 端口 允许 通过 的 非 PVID 报 
文 的 传输 规则 和 Hybird 端口 带 标 
签发 送 的 报 文 的 传输 规则 


透 传 报 文 ， 不 做 特殊 处 理 。 类 似 于 
Trunk 端口 允许 通过 的 非 PVID 报 
文 的 传输 规则 和 Hybird 疹 口 市 标 
签发 送 的 报 文 的 传输 规则 


透 传 报 文 ， 不 做 特殊 处 理 。 类 似 于 
Trunk 端口 允许 通过 的 非 PVID 报 
文 的 传输 规则 和 Hybird 端口 带 标 
签发 送 的 报 文 的 传输 规则 


透 传 报 文 ， 不 做 特殊 处 理 。 类 似 于 
Trunk 端口 允许 通过 的 非 PVID 报 
文 的 传输 规则 和 Hybird 端口 带 标 
签发 送 的 报 文 的 传输 规则 


校 验 报 文中 VLAN ID 的 值 和 
VLANIF 接口 是 否 一 致 ， 一 致 则 发 
送 报 文 ， 否 则 丢弃 。 类 似 于 Access 
端口 的 传输 规则 


2. 配置 GRE 的 安全 机 制 
为 了 增强 GRE 隧道 的 安全 性 , 可 以 对 GRE 隧道 两 端的 Tunnel 接口 配置 校 验 和 用 识 
别 关 键 字 ， 通 过 这 种 安全 机 制 防止 错误 识别 、 接 收 其 他 地 方 来 的 报 文 。 有 具体 的 配置 步骤 


如 表 6-3 所 示 。 





以 太 网 报 文 在 GRE 隧道 中 的 传输 规则 


以 太 网 报 文 不 携带 Tag 标记 
Unilagged) 有 


如 果 报 文 携带 Tag 标签 ， 则 和 剥离 
Tag， 再 发 送 报 文 ， 否 则 直接 传输 


透 传 报 文 ， 不 做 特殊 处 理 。 类 似 
于 Trunk 端口 允许 通过 的 非 PVID 
报 文 的 传输 规则 和 Hybird 端口 带 
标签 发 送 的 报 文 的 传输 规则 


如 果 报 文 携带 Tag 标签 ， 则 剥离 
Tag， 册 发送 报 文 ， 否则 直接 传输 


透 传 报 文 ， 不 做 特殊 处 理 。 类 似 
于 Trunk 端口 允许 通过 的 非 PVID 
报 文 的 传输 规则 和 Hybird 端口 带 
标签 发 送 的 报 文 的 传输 规则 


如 果 报 文 携带 Tag 标签 ， 则 剥离 
Tag， 再 发 送 报 文 ， 人 否则 直接 传输 


给 报 文 打上 VLAN ID， 再 发 送 报 
文 (VLAN ID 的 值 为 YLANIF 接 
口 对 应 的 VLAN ID 值 ) 
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表 6-3 配置 GRE 安全 机 制 的 步骤 
system-view i 
例如 : <Huawei> system-view 进入 系统 匀 图 
interface tunnel interface- 
2 number 创建 Tunnel 接口 ， 并 进入 Tunnel 接口 视图 。 参 见 表 6-1 中 
例如 : [Huawei] interface 的 第 2 步 


tunnel 0/0/1 

使 能 GRE 隧道 的 校 验 和 功能 ， 用 于 检测 报 文 的 完整 性 。 

如 果 隧 道 的 一 问 配 置 了 校 验 和 ， 本 端 将 根据 GRE 头 及 
payload 信息 计算 校 验 和 。 然 后 本 端 将 包含 校 验 和 的 报 文 发 送 
给 对 端 。 对 闯 对 接收 到 的 报 文 计算 校 验 和 ， 并 与 报 文 中 的 校 
验 和 比较 : 如 果 一 致 则 对 报 文 进一步 处 理 ; 否则 丢 奔 报 文 。 
如 果 本 端 配 置 了 校 验 和 而 对 端 没有 配置 ， 则 本 端 将 不 对 接 
收 到 的 报 文 进行 校 验 ， 但 对 本 端 发 送 的 报 文 计 算 校 验 和 ; 
如 果 本 端 没 有 配置 校 验 和 而 对 端 配置 ， 则 本 端 对 从 对 端 发 
来 的 报 文 进行 校 验 和 检查 ， 但 对 本 端 发 送 的 报 文 不 计算 校 
验 和 。 

缺 省 情况 下 ， 未 使 能 Tunnel 的 端 到 端 校 验 和 功能 ， 可 用 
undo gre checksum 命令 去 使 能 GRE 隧道 的 校 验 功能 
(可 选 ) 设置 GRE 隧道 的 识别 关键 字 。 命 令 中 的 参数 说 明 
如 下 。 

。 plain key-number: 二 选 一 参数 ， 指 定 识别 关键 字 显 示 为 
明文 形式 ， 整 数 形式 ， 取 值 范围 是 0 一 4294967295。 识 别 
关键 字 将 以 明文 形式 保存 在 配置 文件 中 。 

e [ cipher ] plain-cipher-text: 二 选 一 参数 ， 指 定 识别 关键 
字 显 示 为 密 文 形 式 ， 可 以 输入 整数 形式 的 明文 ， 取 值 范围 
是 0 一 4294967295; 也 可 以 输入 32 位 或 48 位 字符 串 长 度 
的 密 文 。 使 用 cipher 选项 可 将 识别 关键 字 加 密 保 存 ， 否 则 
也 是 以 明文 方式 保存 密 方式 保存 的 。 

gre key { plain key-number | 当 设 备 之 间 只 有 一 条 物理 链 路 且 源 地 址 和 目的 地 址 只 能 取 
[ cipher ] plain-cipher-text } 一 个 时 ， 由 于 只 能 配置 一 个 源 地 址 和 目的 地 址 相同 的 
例如 : [Huawei-Tunnel0/0/1] Tunnel 接口 ， 因 此 不 能 承载 不 同 的 业务 流量 。 为 了 解决 上 
gre key cipher 1000 述 问 题 ， 系 统 文 持 配置 两 条 或 两 条 以 上 源 地 址 和 目的 地 址 
相同 的 Tunnel 接口 ， 通 过 本 命令 为 这 些 不 同 GRE 隧道 配 
置 不 同 的 GRE Key 字段 进行 区 分 ， 从 而 可 以 承载 不 同 的 业 
【注意 】 只 有 Tunnel 两 端 设置 的 识别 关键 字 完全 一 致 时 才 
能 通过 验证 ， 否 则 将 报 文 丢弃 。 本 命令 为 覆盖 式 配置 ， 后 
一 次 配置 会 覆盖 前 一 次 的 配置 。 

若 将 多 条 GRE 隧道 配置 为 相同 的 源 地 址 和 目的 地 址 , 建议 
先 配 置 本 命令 ， 否 则 会 提示 隧道 配置 冲突 。 

缺 省 情况 下 ，GRE 隧道 没有 设置 识别 关键 子 ， 可 用 undo gre 
key 命令 删除 GRE 隧道 的 识别 关键 字 


3. 使 能 GRE 的 Keepalive 检测 功能 
使 用 Keepalive 功能 可 以 周期 地 发 送 Keepalive 探测 报 文 给 对 端 ， 及 时 检测 隧道 连通 
性 。 若 对 端 可 达 ， 则 本 端 会 收 到 对 端的 回应 报 文 ;否则 ， 收 不 到 对 端的 回应 报 文 ， 关 闭 


gre checksum 


3 例如 : [Huawei-Tunnel0/0/1] 
gre checksum 
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Keepalive 功能 是 单 向 的 ， 只 要 在 隧道 一 端 配置 Keepalive， 该 端 就 具备 Keepalive 功 
能 ， 而 不 要 求 隧道 对 端 也 具备 该 功能 。 但 为 了 使 隧道 两 端 都 能 检测 对 端 是 否 可 达 ， 建 议 
在 隧道 两 端 都 使 能 Keepalive 功能 。 

使 能 Keepalive 功能 的 方法 很 简单 ， 只 需 在 对 应 的 Tunnel 接口 视图 下 通过 keepalive 
[ period period [ retry-times retry-times ] ] 命 令 配置 即 可 。 命 令 中 的 参数 说 明 如 下 。 

e。 period period: 可 选 参 数 ， 指 定 发 送 Keepalive 报 文 的 定时 器 周期 ， 整 数 形式 ， 取 
值 范围 是 1 一 32767， 单 位 是 s。 缺 省 值 是 5s。 

e retry-times retry-times: 可 选 参数 ， 指 定 Keepalive 报 文章 传 的 最 大 次 数 ， 整 数 形 
式 ， 取 值 范围 是 1 一 2$$。 缺 省 值 是 3。 

本 命令 是 覆盖 式 的 ， 即 后 一 次 配置 会 覆盖 前 一 次 的 配置 。 配 置 Keepalive 功能 后 ， 
可 用 display keepalive packets count 命令 查看 GRE 隧道 接口 发 送 给 对 器 以 及 从 对 交接 收 
的 Keepalive 报 文 的 数量 和 Keepalive 啊 应 报 文 的 数量 。 

缺 省 情况 下 ， 未 使 能 GRE 隧道 的 Keepalive 功能 ， 可 用 undo keepalive 命令 去 使 能 
GRE 隧道 的 Keepalive 功能 。 


6.3.5 ” GRE VPN 隧道 维护 与 管理 


本 市 集中 介绍 有 关 GRE 配置 、 隧 道 维护 与 管理 的 方法 。 

1. 统计 并 查看 Tunnel 接口 统计 信息 

当 需 要 检查 网 络 状况 或 定位 网 络 故 障 时 , 可 以 在 设备 上 打开 Tunnel 接口 的 流量 统计 
功能 ， 统 计 通 过 Tunnel 接口 的 流量 信息 。 如 果 发 现 根 本 没 流 量 通过 ， 则 肯定 配置 或 线路 
有 问题 ， 导 致 隧道 不 通 了 。 

打开 Tunnel 接口 的 流量 统计 功能 的 方法 是 在 Tunnel 接口 视图 下 执行 statistic enable 
{inbound | outbound } 命 令 ，inbound 选项 用 于 使 能 Tunnel 接口 入 方 回 的 流量 统计 功能 ， 
outbound 选项 用 于 使 能 Tunnel 接口 出 方 癌 的 流量 统计 功能 。 如 果 要 同时 对 入 、 出 两 个 
方 问 的 流量 进行 统计 ， 则 要 分 别 执行 命令 。 

缺 省 情况 下 ，Tunnel 接口 的 流量 统计 功能 处 于 去 使 能 状态 的 ， 可 用 undo statistic 
enable { inbound | outbound } 命 令 去 使 能 Tunnel 接口 的 入 或 出 方向 流量 统计 功能 。 

使 能 了 Tunnel 接口 流量 统计 功能 后 ， 可 执行 display interface tunnel 命令 查看 所 有 
Tunnel 接口 的 流量 统计 信息 。 

当 需 要 计算 和 分 析 Tunnel 接口 的 统计 信息 时 ， 还 可 以 在 用 户 视图 下 执行 reset 
counters interface tunnel [ interface-number ] 命令 先 将 指定 Tunnel 接口 或 所 有 Tunnel 接口 
当前 的 统计 信息 重 置 清 零 ， 避 人 免 原 统计 信息 的 干扰 。 但 重 置 指定 Tunnel 接口 的 报 文 统计 信 
上 县， 会 将 接口 发 送 和 接收 的 报 文 数目 ， 以 及 报 文 的 传输 速率 等 信息 清 零 ， 请 谨慎 使 用 。 

2. 监控 GRE 运行 状况 

在 日 党 维护 工作 中 ， 可 以 在 任意 视图 下 选择 执行 以 下 命令 ， 了 解 GRE 协议 的 运行 
情况 ， 可 以 查看 GRE 隧道 接口 是 否 UP， 是否 存在 错误 报 文 ， 到 目的 地 址 的 路 由 信息 是 
否 通 过 Tunnel 接口 正常 转发 。 

。 display interface tunnel [ interface-number | main ]: 查看 所 有 或 指定 Tunnel 接口 
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的 工作 状态 。 

。 display ip routing-table: 答 看 IPv4 路 由 表 中 ， 到 指定 目的 地 址 的 路 由 出 接口 为 
Tunnel 接口 的 路 由 。 

。 display ip routing-table vpn-instance vpn-instance: 但 看 通过 Tunnel 接口 转发 的 
VPN 路 由 信息 。 

3. 重 置 Tunnel 接口 的 Keepalive 报 文 统计 信息 

当 需 要 计算 和 分 析 Tunnel 接口 的 Keepalive 报 文 统计 信息 时 ， 可 以 先 将 统计 信息 重 
置 清 零 ， 避 免 原 统 计 信 息 的 干扰 。 重 置 Tunnel 接口 的 Keepalive 报 文 统计 信息 的 方法 是 
在 对 应 的 Tunnel 接口 视图 下 执行 reset keepalive packets count 命令 即 可 。 

重 置 指定 Tunnel 接口 的 Keepalive 报 文 统计 信息 , 会 将 GRE 隧道 接口 发 送 给 对 端的 
Keepalive 报 文 数量 和 Keepalive 啊 应 报 文 数 量 , 以 及 从 对 疹 接 收 的 Keepalive 报 文 数量 和 
Keepalive 响应 报 文 数 量 的 统计 信息 清 零 ， 且 信息 不 可 恢复 ， 请 谨慎 使 用 。 


6.4 ”典型 配置 示例 


为 了 帮助 大 家 加 深 对 GRE VPN 应 用 的 理解 ， 及 对 不 同 场景 下 的 具体 配置 方法 的 党 
握 ， 本 节 将 介绍 儿 个 在 不 同 场景 下 应 用 GRE VPN 的 配置 示例 。 


6.4.1 GRE 通过 静态 路 由 实现 两 个 远程 IPv4 子 网 互联 配置 示例 


如 图 6-13 所 示 ，RouterA、RouterB、RouterC 已 通过 OSPF 协议 路 由 实现 Internet 
互通 。RouterA 和 RouterC 是 两 企业 分 支 机 构 的 Internet 网 天 ，PC1 和 PC2 上 运行 IPv4 
协议 ， 分 别 代 表 两 分 支 机 构 私 网 。 现 需要 通过 在 Internet 上 建立 GRE 隧道 ， 采 用 静态 路 
由 方式 实现 这 两 个 远程 的 IPv4 私 网 互通 。 











Internet 






RouterB 





GE2/0/0 
30.1.1.1/24 


GE1/0/0 
20.1.1.2/24 














GE1/0/0 GE1/0/0 
20.1.1.1/24 30.1.1.2/24 


RouterC 





mw 
GE2/0/0 | Tunnel0/0/1 Tunnel0/0/1 |GE2/0/0 


10.1.1.2/24 |10.3.1.1/24 10.3.1.2/24 |10.2.1.2/24 


图 6-13 ”GRE 通过 静态 路 由 实现 两 个 远程 了 Pv4 子 网 互联 配置 示例 的 拓扑 结构 
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1. 基本 配置 思路 分 析 

这 是 一 种 非常 典型 的 GRE VPN 应 用 ， 用 于 通过 在 Internet 上 建立 GRE 隧道 实现 两 
个 异地 的 远程 IPv4 子 网 互通 ， 此 时 要 求 隧道 两 端 所 连接 的 子 网 网 关 设 备 连接 Internet 的 
接口 上 分 配 有 静态 公 网 IP 地 址 。 

本 示例 要 实现 PC1 和 PC2 通过 公 网 互通 , 需要 在 RouterA 和 RouterC 之 间 建 立 直 连 
链 路 ， 部 署 GRE 隧道 ， 然 后 通过 静态 路 由 指定 到 达 对 端的 报 文通 过 Tunnel 接口 转发 ， 
PC1 和 PC2 就 可 以 互相 通信 了 。 总 体 配 置 过 程 很 简单 ， 基 本 的 配置 思路 如 下 。 

(1) 在 公 网 人 出 ， 所 有 路 由 器 设备 之 间 运 行 OSPF 路 由 协议 实现 设备 间 路 由 互通 。 

(2) 在 RouterA 和 RouterC 上 分 别 创建 Tunnel 接口 ， 配 置 PP 地 址 和 GRE 封装 协议 ， 

创建 GRE 隧道 。 并 在 RouterA 和 RouterC 上 的 Tunnel 接口 上 绑 定 GE1/0/0 接口 或 者 它 
们 的 卫 地 址 ， 作 为 各 目 GRE 隧道 源 IP 地 址 或 源 接口 ， 用 于 通过 GRE 隧道 传输 的 报 文 
从 这 两 接口 上 进行 转发 。 同 时 指定 到 达 隧 道 对 端的 目的 卫 地 址 。 

(3) 因为 本 示例 中 进入 路 由 器 设备 的 报 文 为 IPv4 报 文 ， 所 以 需要 在 RouterA 和 
RouterC 上 分 别 配 置 经 过 Tunnel 接口 转发 的 路 由 。 本 示例 采用 静态 路 由 配置 方式 ， 以 定 
义 要 通过 GRE 隧道 转发 的 数据 流 , 使 PC1 和 PC2 所 代表 的 子 网 之 间 的 流量 通过 GRE 隧 

道 传 输 ， 实 现 两 子 网 互通 。 
2 具体 配置 步 又 
(1) 在 RouterA、RouterB 和 RouterC 上 配置 各 物理 接口 的 卫 地 址 。 


<Huawel> system-view 

[Huawel] sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabltEthernet1/0/0] ip address 20.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA] interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0|] ip address 10.1.1.2 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 


<Huawei> system-view 

[Huawel] sysname RouterB 

[RouterB | interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 20.1.1.2 255.255.255.0 
[RouterB-GigabltEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 30.1.1.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 


<Huawel> system-view 

[Huawei| sysname RouterC 

[RouterC] interface gigabitethernet 1/0/0 
[RouterC-GigabitEthernet1/0/0] ip address 30.1.1.2 255.255.255.0 
[RouterC-GigabitEthernet1/0/0] quit 

[RouterC] interface gigabitethernet 2/0/0 
[RouterC-GigabitEthernet2/0/0] ip address 10.2.1.2 255.255.255.0 
[RouterC-GigabitEthernet2/0/0] quit 


《2) 配置 各 路 由 需 公 网 侧 的 OSPF 路 由 
在 RouterA、RouterB 和 RouterC 上 对 连接 Internet 的 接口 所 在 IP 网 段 加 入 到 OSPF 
缺 省 路 由 进程 1 的 区 域 0 中 在 单 区 域 的 OSPF 网 络 中 ， 区 域 ID 可 以 任意 )。 
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[RouterA] ospf 1 

[RouterA-ospf-1|] area 0 

[RouterA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255 #--- 用 于 匹配 GE1/0/0 接口 
[RouterA-ospf-1-area-0.0.0.0] quit 

[RouterA-ospf-1] quit 

[RouterA-ospf-1| quit 


[RouterB| ospf 1 

[RouterB-ospf-1|] area 0 

[RouterB-osp 人 1-area-0.0.0.0] network 20.1.1.0 0.0.0.255” #--- 用 于 匹配 GE1/0/0 接口 
[RouterB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255 #--- 用 于 匹配 GE2/0/0 接口 
[RouterB-ospf-1-area-0.0.0.0] quit 

[RouterB-ospf-1] quit 


[RouterC| ospf 1 

[RouterC-ospf-1] area 0 

[RouterC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255 ” #--- 用 于 匹配 GE1/0/0 接口 

[RouterC-ospf-1-area-0.0.0.0] quit 

[RouterC-ospf-1| quit 

[RouterC-ospf1] quit 

配置 完成 后 ,在 RouterA 和 RouterC 上 执行 display ip routing-table 命令 ， 可 以 看 到 
它们 能 够 学 到 去 往 对 端 接口 网 段 地 址 的 OSPF 路 由 。 以 下 是 在 RouterA 上 执行 该 命令 的 
输出 示例 (参见 输出 信息 中 的 粗 体 部 分 )。 

[RouterA | display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 
Destinations : 1 Routes : 1 


OSPF routing table status : <Active> 


Destinations : 1 Routes : 1 
Destination/Mask Broto— Pre. Cost Flags NextHop Interface 
30.1.1.0/24 OSPF 19 .2 DD 20112 GigabitEthernet1/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes : 0 


(3) 配置 Tunnel 接口 

在 RouterA 和 RouterC 上 创建 Tunnel 接口 ， 并 为 它们 配置 一 个 IP 地 址 (不 能 与 其 
他 接口 的 了 PP 地址 在 同一 个 IP 网 段 , 通常 用 私 网 IP 地 址 ), 指定 源 卫 地 址 和 目的 卫 地 址 
(分 别 为 本 端 或 对 问 发 送 、 接 收报 文 的 实际 物理 接口 的 卫 地址 )。 

# 配置 RouterA。 

[RouterA] interface tunnel 0/0/1 #--- 创 建 Tunnel 0/0/1 接口 

[RouterA-Tunnel0/0/1] tunnel-protocol gre #-- 指 定 它 的 封装 协议 为 GRE 

[RouterA-Tunnel0/0/1] ip address 10.3.1.1 255.255.255.0”#--- 为 Tunnel 0/0/1 接口 配置 一 个 不 同 卫 网 段 的 私 网 IP 地 址 

[RouterA-Tunnel0/0/1] source 20.1.1.1 #--- 指 定 隧道 源 IP 地址， 为 本 地 设备 的 GE1/0/0 接口 的 中 地 址 ， 也 是 本 端 隧 
道 发 送 报 文中 的 源 人 P 地 址 

[RouterA-Tunnel0/0/1] destination 30.1.1.2 #--- 指 定 隧 道 目的 卫 地 址 , 为 RouterC 的 GE1/0/0 接口 的 瑟 地 址 ,也 是 本 
端 隧道 发 送 报 文中 的 目的 瑟 地 址 

[RouterA-Tunnel0/0/1] quit 
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# 配置 RouterC。 


[RouterC] interface tunnel 0/0/1 

[RouterC-Tunnel0/0/1] tunnel-protocol gre 
[RouterC-Tunnel0/0/1] ip address 10.3.1.2 255.255.255.0 
[RouterC-Tunnel0/0/1] sourece 30.1.1.2 
[RouterC-Tunnel0/0/1] destination 20.1.1.1 
[RouterC-Tunnel0/0/1] quit 


配置 完成 后 ，Tunnel 接口 状态 变 为 Up， 且 两 端的 Tunnel 接口 之 则 可 以 Ping 通 了 ， 
此 时 直 连 的 GRE 隧道 成 功 建立 了 。 

(4) 在 隧道 两 端的 RouterA 和 RouterC 上 配置 静态 路 由 ， 以 定义 需要 通过 GRE 降 道 
传输 的 数据 流 。 此 处 是 从 本 端 到 达 对 端 私 网 的 数据 流 ， 故 目的 IP 地 址 是 对 闯 私 网 网 络 地 
址 。 因 为 Tunnel 接口 的 链 路 层 协议 缺 省 为 PPP 类 型 , 所 以 在 所 配置 的 静态 路 由 中 仪 指 定 
以 本 靖 的 Tunnel 接口 作为 出 接口 ， 可 以 不 指定 下 一 跳 卫 地 址 。 


[RouterA] ip route-static 10.2.1.0 255.255.255.0 tunnel 0/0/1 


[RouterC] ip route-static 10.1.1.0 255.255.255.0 tunnel 0/0/1 

3. 配置 结果 验证 

配置 完成 后 ,在 RouterA 和 RouterC 上 执行 display ip routing-table 命令 ,可 以 看 到 
去 往 对 端 用 户 侧 网 段 的 静态 路 由 出 接口 为 本 病 Tunnel 接口 。 以 下 是 在 RouterA 上 执行 该 
命令 的 输出 示例 参见 输出 信息 中 的 粗 体 部 分 〉。 

[RouterA] display ip routing-table 10.2.1.0 

Route Flags: R - relay, D - download to fib 


Routing Table : Public 
Summary Count : ! 
Destination/Mask Proto Pre Cost Flags NextHop Interface 


10.2.1.0/24 Static 60 0 D 10.3.1.2 Tunnel0/0/1 
此 时 ，PC1 和 PC2 已 可 以 相互 Ping 通 了 。 
6.4.2 GRE 通过 OSPF 路 由 实现 两 个 远程 IPv4 子 网 互联 配置 示例 


如 图 6-14 所 示 ，RouterA、RouterB、RouterC 已 通过 OSPF 协议 路 由 实现 Internet 
互通 。RouterA 和 RouterC 是 两 企业 分 文 机 构 的 Internet 网 天 ，PC1 和 PC2 上 运行 IPv4 
协议 ， 分 别 代表 两 分 文 机 构 私 网 。 现 需要 通过 在 Internet 上 建立 GRE 隧道 ， 也 要 采用 
OSPF 动态 路 由 方式 实现 这 两 个 远程 的 IPv4 私 网 互通 ， 并 且 同 时 需要 保证 私 网 数据 传输 
的 可 靠 性 。 

1. 基本 配置 思路 分 析 

本 示例 其 实 与 6.2 节 介 绍 的 GRE VPN 应 用 的 总 体 需求 是 差不多 的 ,不 同 的 只 是 在 定 
义 需 要 通过 GRE 隧道 转发 的 数据 流 的 路 由 方面 ,本 示例 采用 的 是 OSPF 动态 路 由 (不 是 
上 例 中 的 静态 路 由 方式 )。 另 外 ， 为 了 实现 数据 传输 的 可 靠 性 ， 还 可 在 GRE 隧道 两 端的 
Tunnel 接口 上 使 能 Keepalive 功能 ， 以 便 能 及 时 检测 隧道 链 路 状态 。 

本 示例 的 基本 配置 思路 如 下 。 

(1) 在 公 网 侧 ， 所 有 路 由 器 设备 之 间 运 行 OSPF 路 由 协议 实现 设备 间 路 由 互通 。 
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图 6-14 GRE 通过 OSPF 路 由 实现 两 个 远程 IPv4 子 网 互联 配置 示例 的 拓扑 结构 


(2) 在 RouterA 和 RouterC 上 分 别 创建 Tunnel 接口 ， 配 置 卫 地 址 和 GRE 封装 协议 ， 
创建 GRE 隧道 。 并 在 RouterA 和 RouterC 上 的 Tunnel 接口 上 绑 定 GE1/0/0 接口 或 者 它 
们 的 卫 地 址 ， 作 为 各 目 GRE 隧道 源 IP 地 址 或 源 接口 ， 用 于 通过 GRE 隧道 传输 的 报 文 
从 这 两 接口 上 进行 转 及 。 同 时 指定 到 达 隆 道 对 端的 目的 IP 地 址 。 

(3) 因为 本 示例 中 进入 路 由 器 设备 的 报 文 为 IPv4 报 文 ， 所 以 需要 在 RouterA 和 
RouterC 上 分 别 配置 经 过 Tunnel 接口 转发 的 路 由 。 本 示例 采用 OSPF 动态 路 由 配置 方式 ， 
以 定义 要 通过 GRE 隧道 转发 的 数据 流 , 使 PC1 和 PC2 所 代表 的 子 网 之 间 的 流量 通过 GRE 
隧道 传输 ， 实 现 两 子 网 互通 。 但 要 注意 的 是 ， 这 里 所 配置 的 OSPF 路 由 进程 不 能 与 公 网 
侧 的 OSPF 路 由 进程 相同 。 

(4) 在 RouterA 和 RouterC 的 Tunnel 接口 上 分 别 使 能 Keepalive 功能 ， 以 便 两 端 都 
能 及 时 检测 到 隧道 链 路 状态 ， 确 保 数 据 传输 的 可 徘 性 。 

2. 具体 配置 步 又 

(1) 在 RouterA、RouterB 和 RouterC 上 配置 各 物理 接口 的 IP 地 址 。 


<Huawei> system-view 

[Huawel]l sysname RouterA 

[RouterA | interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ip address 20.1.1.1 255.255.255.0 
[RouterA-GigabitEthernetl/0/0] quit 

[RouterA| interface gigabitethernet 2/0/0 
[RouterA-GigabitEthernet2/0/0| ip address 10.1.1.2 255.255.255.0 
[RouterA-GigabitEthernet2/0/0] quit 


<Huawei> system-view 

[Huawell sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernetl/0/0] ip address 20.1.1.2 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 
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[RouterB| interface gigabitethernet 2/0/0 


[RouterB-GigablitEthermet2/0/0] ip address 30.1.1.1 255.255.255.0 


[RouterB-GigabitEthernet2/0/0] quit 


<Huawei> system-view 
[Huawei] sysname RouterC 
[RouterC] interface gigabitethernet 1/0/0 


[RouterC-GigabltEthernet1/0/0] ip address 30.1.1.2 255.255.255.0 


[RouterC-GigabitEthernet1/0/0] quit 
[RouterC] interface gigabitethernet 2/0/0 


[RouterC-GigabitEthernet2/0/0] ip address 10.2.1.2 255.255.255.0 


[RouterC-GigabitEthernet2/0/0] quit 


(2) 配置 各 路 由 器 公 网 侧 的 OSPF 路 由 


在 RouterA、RouterB 和 RouterC 上 对 连接 Internet 的 接口 所 在 IP 网 段 加 入 到 OSPF 
缺 省 路 由 进程 1 的 区 域 0 中 在 单 区 域 的 OSPF 网 络 中 ， 区 域 ID 可 以 任意 )。 


[RouterA] ospf 1 

[RouterA-ospf-1] area 0 

[RouterA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255 
[RouterA-ospf-1-area-0.0.0.0] quit 

[RouterA-ospf-1] quit 

[RouterA-ospf-1] quit 


[RouterB] ospf 1 

[RouterB-ospf-1] area 0 

[RouterB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255 
[RouterB-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255 
[RouterB-ospf-1-area-0.0.0.0] quit 

[RouterB-ospf-1] quit 


[RouterC| ospf | 

[RouterC-ospf-1] area 0 

[RouterC-ospf-1-area-0.0.0.0] network 30.1.1.0 0.0.0.255 
[RouterC-ospf-1-area-0.0.0.0] quit 

[RouterC-ospf-1] quit 

[RouterC-ospf-1] quit 


#--- 用 于 匹配 GE1/0/0 接口 


#--- 用 于 匹配 GE1/0/0 接口 
#--- 用 于 匹配 GE2/0/0 接口 


#--- 用 于 匹配 GE1/0/0 接口 


配置 完成 后 ， 在 RouterA 和 RouterC 上 执行 display ip routing-table 命令 ， 可 以 看 到 
它们 能 够 学 到 去 往 对 端 接口 网 段 地 址 的 OSPF 路 由 。 以 下 是 在 RouterA 上 执行 该 命令 的 


输出 示例 (参见 输出 信息 中 的 粗 体 部 分 )。 
[RouterA|] display ip routing-table protocol ospf 
Route Flags: R - relay, D - download to fib 


Public routing table : OSPF 


Destinations : 1 Routes : 1 


OSPF routing table status : <Active> 


Destinations : 1 Routes : ] 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
30.1.1.0/24 QSPF i0 2 DD 20.11.2 Gigabitkthernet1/0/0 


OSPF routing table status : <Inactive> 


Destinations : 0 Routes:0 
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(3) 配置 Tunnel 接口 

在 RouterA 和 RouterC 上 创建 Tunnel 接口 ， 并 为 它们 配置 一 个 IP 地 址 (不 能 与 其 
他 接口 的 卫 地 址 在 同一 个 卫 网 段 ， 通 常用 私 网 IP 地 址 即 可 )， 指 定 源 瑟 地 址 和 目的 IP 
地 址 《分 别 为 本 站 或 对 端 发 送 、 接 收报 文 的 实际 物理 接口 的 卫 地 址 )。 并 为 了 确保 GRE 
障 道 中 数据 传输 的 可 靠 性 ， 在 两 端 Tunnel 接口 上 使 能 keepalive 功能 。 

# 配置 RouterA。 

[RouterA] interface tunnel 0/0/1 #--- 创 建 Tunnel 0/0/1 接口 

[RouterA-Tunnel0/0/1] tunnel-protocol gre #-- 指 定 它 的 封装 协议 为 GRE 

[RouterA-Tunnel0/0/1] ip address 10.3.1.1 255.255.255.0”#-- 为 Tunnel 0/0/1 接口 配置 一 个 不 同 IP 网 段 的 私 网 卫 地 址 

[RouterA-Tunnel0/0/1] source 20.1.1.1 #--- 指 定 隧 道 源 IP 地 址 ， 为 本 地 设备 的 GE1/0/0 接口 的 他 地址 ， 也 是 本 端 隧 
道 发 送 报 文中 的 源 PP 地 址 

[RouterA-Tunnel0/0/1] destination 30.1.1.2 ”#--- 指 定 隧道 目的 IP 地 址 , 为 RouterC 的 GE1/0/0 接口 的 中 地 址 , 也 是 本 
端 隧道 发 送 报 文 中 的 目的 他 地址 

[RouterA-Tunnel0/0/1] keepalive ”#--- 使 能 Keepalive 链 路 检测 功能 

[RouterA-Tunnel0/0/1] quit 

# 配置 RouterC。 

[RouterC | interface tunnel 0/0/1 

[RouterC-Tunnel0/0/1] tunnel-protocol gre 

[RouterC-Tunnel0/0/1| ip address 10.3.1.2 255.255.255.0 

[RouterC-Tunnel0/0/1| source 30.1.1.2 

[RouterC-Tunnel0/0/1] destination 20.1.1.1 

[RouterC-Tunnel0/0/1] keepalive 

[RouterC-Tunnel0/0/1] quit 

配置 完成 后 ，Tunnel 接口 状态 变 为 Up， 且 两 端的 Tunnel 接口 之 间 可 以 Ping 通 了 ， 
此 时 直 连 的 GRE 隧道 成 功 建立 了 。 

此 时 使 用 在 对 应 Tunnel 接口 视图 下 执行 display keepalive packets count 命令 可 查看 
keepalive 报 文 统计 。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 。 


[RouterA | interface tunnel 0/0/1 

[RouterA-Tunnel0/0/1] display keepalive packets count 

Send 10 keepalive packets to peers, Receive 10 keepalive response packets from peers 
Recelve 8 keepalive packets from peers, Send 8 keepalive response packets to peers. 


(4) 在 RouterA 和 RouterC 上 配置 Tunnel 接口 使 用 OSPF 路 由 定义 需要 通过 GRE 
隆 道 传输 的 数据 流 。 但 要 注意 的 是 ， 所 使 用 的 OSPF 路 由 进程 不 能 与 前 面 为 公 网 侧 配置 
的 OSPF 路 由 进程 一 致 。 前 面 在 第 2 步 中 为 公 网 侧 配置 的 OSPF 路 由 进程 为 1， 此 处 假 
设 为 OSPF 路 由 进程 2， 区域 ID 任意 。 


[RouterA | ospf 2 

[RouterA-ospf-2] area 0 

[RouterA-ospf-2-area-0.0.0.0] network 10.3.1.0 0.0.0.255 #--- 用 于 匹配 Tunnel 0/0/1 接口 
[RouterA-ospf-2-area-0.0.0.0] network 10.1.1.0 0.0.0.255 #--- 用 于 匹配 GE2/0/0 接口 
[RouterA-ospf-2-area-0.0.0.0] quit 

[RouterA-ospf-2] quit 


[RouterC] ospf 2 

[RouterC-ospf-2] area 0 

ReuterC-oespE2-area-0.0.0.901 network 10.3.1.0 0.0.0.255 ” 丰 -- 用 二 下 配 Tunnel 0/0/1 接口 
[RouterC-ospf-2-area-0.0.0.0] network 10.2.1.0 0.0.0.255 ”#--- 用 于 匹配 GE2/0/0 接口 
[RouterC-ospf-2-area-0.0.0.0] quit 

[RouterC-ospf-2] quit 
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3. 配置 结果 验证 

配置 完成 后 , 在 RouterA 和 RouterC 上 执行 display ip routing-table 命令 ,可 以 看 到 
去 往 对 端 用 户 侧 网 段 的 OSPF 路 由 的 出 接口 为 Tunnel 接口 ， 下 一 跳 是 对 妆 Tunnel 接口 
IP 地 址 ， 但 去 往 Tunnel 目的 端 物理 地 址 (30.1.1.0/24) 的 路 由 下 一 跳 不 是 对 端 Tunnel 接 
口 的 卫 地址 ， 而 是 RouterC 连接 RouterA 的 公 网 接口 的 IP 地 址 。 证 明 两 路 报 文 转 的 路 
径 是 分 开 的 , 证 明 我 们 的 配置 是 正确 的 。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 ( 参 
见 输出 信息 中 的 粗 体 部 分 )。 此 时 PC1 和 PC2 可 以 相互 Ping 通 了 。 

[RouterA] display ip routing-table protocol ospf 

Route Flags: R - relay, D - download to fib 


一 -一 一 一 一 一 一 一 一 -一 一 一 一 -一 一 一 一 -- 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Public routing table : OSPF 
Destinations : 2 Routes : 2 


OSPF routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
10.2.1.0/24 OSPF 10 1563 D 10312 Tunnel0/0/1 


30.1.1.0/24 OSPF 10 Z D 20.1.1.2 GigabitEthernet1/0/0 


OSPF routing table status : <Inactive> 
Destinations : 0 Routes :0 


6.4.3 GRE 才 大 跳 数 受 限 的 网 络 工作 范围 配置 示例 


如 图 6-15 所 示 ，RouterA、RouterB、RouterC 和 RouterD 之 间 需 要 部 署 RIP 路 由 协 
议 实现 互通 。 不 改变 组 网 的 情况 下 ， 正 常 部 团 RIP 协议 ，RouterA 到 RouterD 需要 经 过 
两 台 设 备 ， 跳 数 为 2。 但 现 要 求 RouterA 到 RouterD 只 经 过 1 跳 ， 即 Cost 值 为 1， 此 时 
可 在 RouterA 和 RouterC 之 间 部 署 GRE 隧道 ， 隐 藏 中 间 设 备 RouterB， 实 现 RouterA 到 
RouterD 的 跳 数 为 1， 达 到 扩大 RIP 协议 的 跳 数 受 限 的 网 络 工作 范围 的 目的 。 


RouterB GE2/0/0 GE1/0/0 RouterC 





GE2/0/0 
40.1.1.1/24 


GE1/0/0 
20.1.1.2/24 






-< 吕 一 一 一 一 一 一 一 一 一 





GE1/0/0 
20.1.1.1/24 


GE1/0/0 
40.1.1.2/24 


RouterA RouterD 


图 6-15 GRE 扩大 跳 数 受 限 的 网 络 工作 范围 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 
这 是 一 个 利用 GRE 隧道 可 以 建立 虚拟 点 对 点 连接 的 特性 的 一 种 应 用 。 当 然 本 示例 
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中 ， 缩 减 的 中 间 设 备 跳 数 很 少 ， 在 实际 应 用 中 ， 中 间 缩 减 的 跳 数 还 可 以 更 多 。 如 假设 图 
中 的 RouterA 和 RouterC 之 间 已 有 15 跳 了 ， 这 样 直 接 通 过 RIP 协议 是 没 办 法 实现 RouterA 
和 RouterD 互通 了 。 这 时 如 果 在 RouterA 和 RouterC 建立 GRE 隧道 ，RouterA 和 RouterD 
之 间 就 相当 于 只 有 2 跳 了 (其 中 一 跳 直 达 了 RouterC )， 就 完全 可 以 在 它们 之 间 利 用 RIP 
协议 实现 互通 了 。 

但 要 注意 : 这 里 的 路 由 配置 要 分 两 部 分 ， 采 用 两 个 不 同 RIP 路 由 进程 ， 其 中 一 部 分 
是 实现 RouterA、RouterB 和 RouterC 之 间 的 路 由 互通 ， 男 一 部 分 是 实现 RouterA、RouterC 
和 RouterD 之 间 的 路 由 互通 。 当 然 ， 第 二 部 分 的 RIP 路 由 需要 包括 RouterA 和 RouterC 
的 Tunnel 接口 所 在 网 段 ， 以 及 RouterC 和 RouterD 之 间 所 连接 的 网 段 。 

本 示例 的 基本 的 配置 思路 如 下 。 

(1) 在 RouterA 和 RouterC 上 分 别 创建 Tunnel 接口 ， 并 为 它们 配置 男 一 个 网 段 的 他 
地 址 ， 指 定 和 GRE 封装 协议 、 隧 道 两 端的 源 卫 地 址 和 目的 IP 地址。 

(2) 在 设备 RouterA、RouterB 和 RouterC 上 分 别 运 行 RIP 协议 ， 创 建 进程 1， 把 它 
们 之 间 连 接 的 接口 添加 到 这 个 进程 中 ， 以 实现 互通 。 但 RouterC 的 GE2/0/0 接口 ， 以 及 
RouterA 和 RouterC 上 的 Tunnel 接口 不 要 加 入 到 这 个 RIP 路 由 进程 中 。 

(3) 在 RouterA、RouterC 和 RouterD 上 分 别 运 行 RIP 协议 , 创建 进程 2, 把 RouterC 
的 GE2/0/0 接口 ， 以 及 RouterA 和 RouterC 上 的 Tunnel 接口 加 入 到 这 个 RIP 路 由 进程 中 ， 
使 RIP 路 由 经 过 GRE 隧道 传输 ， 扩 大 了 RIP 协议 实际 的 跳 数 范围 。 

2 具体 配 置 步骤 

(1) 配置 各 路 由 器 设备 的 各 物理 接口 IP 地 址 。 


<Huawel> System-yiew 

[Huawell sysname RouterA 

[RouterA] interface gigabitethernet 1/0/0 
[RouterA-GigabitEthernet1/0/0] ip address 20.1.1.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 


<Huawei> system-view 

[Huawei|] sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 20.1.1.2 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB] interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 30.1.1.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 


<Huawel> system-view 

[Huawei| sysname RouterC 

[RouterC] interface gigabitethernet 1/0/0 
[RouterC-GigabitEthernet1/0/0|] ip address 30.1.1.2 255.255.255.0 
[RouterC-GlgabltEthernet1/0/0] quit 

[RouterC| interface gigabitethernet 2/0/0 
[RouterC-GigabitEthernet2/0/0] ip address 40.1.1.1 255.255.255.0 
[RouterC-GigabitEthernet2/0/0] quit 


<Huawel> system-view 
[Huawei] sysname RouterD 
[RouterD| interface gigabitethernet 1/0/0 
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[RouterD-GigabitEthernet1/0/0] ip address 40.1.1.2 255.235.255.0 
[RouterD-GigabitEthernet1/0/0] quit 


(2) 在 RouterA、RouterB 和 RouterC 上 创建 RIP 路 由 进程 1， 并 日 通过 network 命 
令 把 它们 相互 连接 的 接口 加 入 到 这 个 路 由 进程 中 。 假 设 使 用 的 是 RIPv2 版 本 ， 要 注意 的 
是 ，RIP 协议 的 network 命令 中 只 能 以 自然 网 段 进行 通 告 ， 不 融通 配 掩 人 码 的 。 

[RouterA| rip ! 

[RouterA-rip-1] version 2 #--- 指 定 采 用 RIPv2 版 本 

[RouterA-rip-1] network 20.0.0.0 ”#--IP 地 址 凡是 在 20.0.0.0/8 网 段 范围 内 的 接口 都 将 加 入 到 RIP 进程 1 中 ， 本 示例 
用 来 匹配 RouterA 的 GE1/0/0 接口 

[RouterA-rip-1|] quit 


[RouterB] rip 1 

[RouterB-rip-1] yersion 2 

[RouterB-rip-1] network 20.0.0.0 #--IP 地 址 凡是 在 20.0.0.0/8 网 段 范围 内 的 接口 都 将 加 入 到 RIP 进程 1 中 ,本 示例 用 
来 匹配 RouterB 的 GE1/0/0 接口 

[RouterB-rip-1] network 30.0.0.0 ”#---IP 地 址 凡是 在 30.0.0.0/8 网 段 范围 内 的 接口 都 将 加 入 到 RIP 进程 1 中 ， 本 示例 
用 来 匹配 RouterB 的 GE2/0/0 接口 

[RouterB-rip-1] quit 


[RouterC | rip 1 

[RouterC-rip-1] version 2 

[RouterC-rip-1] network 30.0.0.0 ” #---IP 地 址 凡是 在 30.0.0.0/8 网 段 范围 内 的 接口 都 将 加 入 到 RIP 进程 1 中 ， 本 示例 
用 来 匹配 RouterC 的 GE1/0/0 接口 

[RouterC-rip-1] quit 

【经 验 提示 】〗 从 以 上 可 以 看 出 ，RouterC 的 GE2/0/0 接口 没有 加 入 到 RIP 1 进程 中 。 
另外 ， 在 这 里 要 特别 注意 了 ， 因 为 RIP 协议 仅 支持 以 自然 网 段 进行 通 告 ， 所 以 我 们 在 为 
后 面 创建 的 Tunnel 接口 配置 耻 地 址 时 ， 一定 不 要 在 以 上 network 命令 所 通告 的 自然 网 
段 范围 内 ， 否 则 Tunnel 接口 到 时 会 同时 加 入 到 两 个 RIP 路 由 进程 ， 造 成 冲突 。 

配置 完成 后 ,在 RouterA 和 RouterC 上 执行 display ip routing-table 命令 ， 可 以 看 到 
它们 能 够 学 到 去 往 对 端 接 口 网 段 地 址 的 RIP 路 由 。 以 下 是 在 RouterA 上 执行 该 命令 的 输 
出 示例 《参见 输出 信息 中 的 粗 体 部 分 )。 

[RouterA] display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 
Destinations : 8 Routes :8 


Destination/Mask Proto Pre Cost Flags NextHop Interface 


20.1.1.0/24 Direct 0 
20.1.1.1/32 Direct 0 
20.1.1.255/32 Direct 0 


0 20.1.1.1 GigabitEthernet1/0/0 
0 
0 
30.1.1.0/24 RIP 100 1 
0 
0 
0 


127.0.0.1 GigabitEthernet1/0/0 
127.00.1 GigabitEthernet1/0/0 
20.1.1.2 GigabitEthernet1/0/0 
12 .0 | InLoopBack0 
127.0.0.1/32 Direct 0 127.0.0.1 InLoopBack0 
127.255.235525353/32 Direct 0 1271.0.0.1 InLoopBack0 
235.223233 2 3342 De 0 0 D 12700! InLoopBack0 


(3) 在 RouterA 和 RouterC 上 创建 并 配置 Tannel 接口 ， 包 括 IP 地 址 (一定 要 不 要 
在 上 面 第 2 步 所 配置 的 network 命令 通告 的 网 段 范 围 内 )、GRE 封 疾 、 隧 道 源 IP 地 址 和 
目的 卫 地 址 。 


1271.0.0.0/8 Diect 0 


UOUUGUUDU 
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[RouterA] interface tunnel 0/0/1 

[RouterA-Tunnel0/0/1] tunnel-protocol gre 
[RouterA-Tunnel0/0/1] ip address 50.1.1.1 255.255.255.0 
[RouterA-Tunnel0/0/1] source 20.1.1.1 
[RouterA-Tunnel0/0/1] destination 30.1.1.2 
[RouterA-Tunnel0/0/1] quit 


[RouterC | interface tunnel 0/0/1 

[RouterC-Tunnel0/0/1] tunnel-protocol gre 

[RouterC-Tunnel0/0/1| ip address 50.1.1.2 255.255.255.0 

[RouterC-Tunnel0/0/1] source 30.1.1.2 

[RouterC-Tunnel0/0/1] destination 20.1.1.1 

[RouterC-Tunnel0/0/1] quit 

配置 完成 后 ，Tunnel 接口 状态 变 为 Up，Tunnel 接口 之 间 可 以 Ping 通 了 。 

(4) 在 RouterA、RouterC 和 RouterD 上 创建 RIP 路 由 进程 2( 要 与 前 面 已 创建 的 
RIP 路 由 进程 不 一 样 )， 把 RouterA 和 RouterC 的 Tunnel 接口 ， 以 及 RouterC 和 RouterD 
连接 的 两 个 接口 加 入 到 该 RIP 路 由 进程 中 。 

[RouterA | rip 2 

[RouterA-rip-2] version 2 

[RouterA-rip-2] network 50.0.0.0 ” #--- 用 于 匹配 RouterA 的 Tunnel 0/0/1 接口 

[RouterA-rip-2] quit 


[RouterC| rip 2 

[RouterC-rip-2] version 2 

[RouterC-rip-2] network 50.0.0.0 ”#--- 用 于 匹配 RouterC 的 Tunnel 0/0/1 接口 
[RouterC-rip-2] network 40.0.0.0 ” #--- 用 于 匹配 RouterC 的 GE2/0/0 接口 
[RouterC-rip-2] quit 


[RouterD] rip 2 

[RouterD-rip-2] version 2 

[RouterD-rip-2] network 40.0.0.0 ”#-- 用 于 匹配 RouterD 的 GE1/0/0 接口 

[RouterD-rip-2] quit 

3. 配置 结果 验证 

配置 完成 后 , 在 RouterA 和 RouterD 上 执行 display ip routing-table 命令 ,可 以 看 到 
到 达 GRE 隧道 对 端 设备 的 路 由 Cost 值 为 1， 而 如 果 不 采 用 本 示例 配置 方法 ，Cost 值 应 
为 2。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 示例 ， 输 出 信息 中 的 粗 体 部 分 显示 的 是 从 
RouterA 到 达 RouterC 上 两 物理 接口 所 在 网 段 的 路 由 开销 值 均 为 1， 而 到 达 RouterC 的 
Tunnel 接口 所 在 网 段 显示 为 Direct〈( 直 连 )。 

[RouterA | display ip routing-table 

Route Flags: R - relay, D - download to fib 


Routing Tables: Public 


Destinations : 12 Routes : 12 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
20.1.1.0/24 Direct 0 0 20LEI GigabitEthernet1/0/0 
20.1,F2B2. “Direct 5 D 127.0.0.1 GigabitEinermeti/0/0 
20-1.1.255/32 “Drect- 0 0 D 127.0.0.1 GigabitEthernet1/0/0 
30.1.1.0/24 RIP 100 1 D20.712 GigabitEthernet1/0/0 
40.1.1.0/24 RIP 100 1 D802 Tunnel0/0/1 
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SO E13 Tunnel0/0/1 
127.0.0.1 Tunnel0/0/1 
127.0.0.1 Tunnel0/0/1 
127.0.0.1 InLoopBack0 
127.0.0.1 InLoopBack0 
127.0.0.1 InLoopBack0 
12 /1.0.0. 1 InLoopBack0 


50.1.1.0/24 Direct 
50.1.1.1/32 Direct 
$50.1.1.255/32 Direct 
127.0.0.0/8 Direct 
127.0.0.1/32 Direct 
127.255.255.255/32 Direct 
255.255.255 25%/32 Direct 


6.4.4 ”GRE 实现 FR 协议 互通 配置 示例 


如 图 6-16 所 示 ，Router 1 和 Router 2 各 自 连 接 了 一 个 位 于 同一 IP 网 段 的 FR〈 帧 中 
继 ) 网 络 ， 两 路 由 器 的 公 网 部 分 已 使 用 OSPF 协议 实现 了 互通 。 现 用 户 希望 能 够 通过 公 
网 实现 FR 私 网 互通 。 


OoOocoooooc 
OOoOo0oooocooeoc 
ey 


Router 1 Router 2 


GE1/0/0 










Tunnel0/0/1 Tunnel0/0/1 
10.3.1.1/24 10.3.1.2/24 





10.1.1.2/24 





10.1.1.1/24 





图 6-16 ”GRE 实现 FR 协议 互通 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

本 示例 是 我 们 前 面 介绍 的 GRE VPN 应 用 的 一 种 特殊 情形 , 束 是 进入 GRE 路 由 需 的 
是 PPP、HDLC、FR 或 以 太 网 协议 报 文 ， 此 时 不 能 通过 路 由 方式 来 指定 这 些 报 文 必须 通 
过 Tunnel 接口 转发 了 ， 而 必须 通过 配置 Link-bridge〈 链 路 桥接 ) 来 把 接收 这 些 二 层 报 文 
的 接口 与 Tunnel 接口 进行 绑 定 。 基 本 的 配置 思路 如 下 。 

(1) 在 Router 1 和 Router 2 之 间 运 行 OSPF 路 由 协议 实现 公 网 互通 。 

(2) 在 Router 1 和 Router 2 上 分 别 创建 Tunnel 接口 ， 配 置 卫 地 址 、GRE 封装 ， 指 
定 隧道 源 IP 地 址 和 目的 卫 地 址 。 

(3) 在 Router 1 和 Router 2 上 分 别 配 置 Link-bridge 功能 ， 把 本 端的 Tunnel 接口 与 
对 应 的 FR 报 文 的 入 接口 进行 绑 定 ， 使 得 FR 私 网 之 间 的 流量 通过 GRE 隧道 传输 ， 实 现 
FR 私 网 互通 。 

2 具体 配置 步骤 

(1) 配置 Router 1 和 Router 2 上 各 物理 接口 的 IP 地 址 或 FR 地 址 。 对 于 连接 FR 网 
络 的 Serial 接口 配置 其 链 路 协议 为 FR， 并 配置 其 DLCI， 作 为 该 接口 的 FR 标识 符 。 


<Huawei> system-view 

[Huawei] sysname Router 1 

[Router 1] interface gigabitethernet 1/0/0 

[Router 1-GigabitEthernet1/0/0| ip address 1.1.1.1 255.255.255.0 

[Router 1-GigabitEthernetl/0/0] quit 

[Router 1] interface serial 1/0/0 

[Router 1-Seriall/0/0] link-protocol fr #--- 指 定 Serial1/0/0 接口 的 链 路 层 协 议 为 FR 
[Router 1-Seriall/0/0] fr dlci 200 #--- 指 定 Serial1/0/0 接口 的 DLCI 为 200 
[Router 1-fr-dici-Seriall/0/0-200] quit 
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[Router 1-Seriall/0/0] quit 


<Huawei> system-view 

[Huawel] sysname Router 2 

[Router 2| interface gigabitethernet 1/0/0 

[Router 2-GigabitEthernetl/0/0] ip address 2.1.1.1 255.255.255.0 
[Router 2-GigabitEthernet1/0/0] quit 

[Router 2| interface serial 1/0/0 

[Router 2-Seriall/0/0] link-protocol fr 

[Router 2-Seriall/0/0] fr dlci 200 

[Router 2-fr-dlci-Seriall/0/0-200] quit 

[Router 2-Seriall/0/0] guit 


(2) 配置 Router 1 和 Router 2 则 的 公 网 OSPF 路 由 ， 使 得 两 设备 间 的 公 网 路 由 可 达 。 
假设 使 用 OSPF 路 由 进程 1， 加 入 区 域 0 中 (在 单 区 域 OSPF 网 络 中 ， 区 域 ID 任意 )。 


[Router 1| ospf 1 

[Router 1-ospf1] area 0 

[Router 1-osp 人 1-area-0.0.0.0] network 1.1.1.0 0.0.0.255 
[Router 1-ospf 人 1-area-0.0.0.0] quit 

[Router 1-ospf-1] quit 


[Router 2| ospf 1 

[Router 2-ospf-1] area 0 

[Router 2-0spf-1-area-0.0.0.0| network 2.1.1.0 0.0.0.255 
[Router 2-0spf-1-area-0.0.0.0] quit 

[Router 2-0spf-1] quit 


(3) 在 Router 1 和 Router 2 上 创建 Tunnel 接口 ， 并 为 其 配置 IP 地址 (通常 采用 私 
网 IP 地 址 )、 封 装 GRE 协议 ， 指 定 隆 道 源 和 目的 卫 地 址 。 


[Router 1] interface tunnel 0/0/1 

[Router 1-Tunnel0/0/1] tunnel-protocol gre 

[Router 1-Tunnel0/0/1] ip address 10.3.1.1 255.255.255.0 

[Router 1-Tunnel0/0/1] source 1.1.1.1 #--- 指 定 隧道 源 IP 地 址 , 为 本 地 设备 的 GE1/0/0 接口 的 他 地 址 , 也 是 本 端 隧道 
发 送 报 文中 的 源 IP 地 址 

[Router_1-Tunnel0/0/1] destination 2.1.1.1 #--- 指 定 隧道 目的 IP 地 址 ,为 对 端 设备 的 GE1/0/0 接口 的 他 地址 ,也 是 本 
端 隧道 发 送 报 文中 的 目的 下 地 址 

[Router 1-Tunnel0/0/1] quit 

# 配置 Router 2。 

[Router 2| interface tunnel 0/0/1 

[Router 2-Tunnel0/0/1] tunnel-protocol gre 

[Router 2-Tunnel0/0/1| ip address 10.3.1.2 255.255.255.0 

[Router 2-Tunnel0/0/1] source 2.1.1.1 

[Router 2-Tunnel0/0/1] destination 1.1.1.1 

[Router 2-Tunnel0/0/1] quit 


配置 完成 后 ，Tunnel 接口 状态 变 为 Up，Tunnel 接口 之 间 可 以 Ping 通 。 
(4) 在 Router 1 和 Router 2 上 配置 Link-bridge 功能 。 把 连接 FR 网 络 的 Serial 接口 
作为 入 接口 ， 本 端 Tunnel 接口 作为 出 接口 。 


[Router 1| link-bridge 2 interface serial 1/0/0 out-interface tunnel 0/0/1 
[Router 2] link-bridge 2 interface serial 1/0/0 out-interface tunnel 0/0/1 


此 时 两 端的 FR 私 网 可 以 相互 Ping 通 了 。 
6.4.5 GRE over IPSec 配置 示例 | 
如 图 6-17 所 示 ，RouterA 为 企业 分 支 网 天 ，RouterB 为 企业 总 部 网 关 ， 分 文 与 总 部 
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通过 公 网 建立 通信 ， 包 括 组 播 通 信 。 现 企业 希望 对 分 支 与 总 部 之 间 相 互 访问 的 流量 ( 包 
括 组 播 数据 ) 进行 安全 保护 。 由 于 组 播 数据 无 法 直接 应 用 IPSec， 所 以 基于 虚拟 隧道 接 
口 方式 建立 GRE over IPSec， 对 Tunnel 接口 下 的 流量 进行 保护 。 


GE1/0/0 GE1/0/0 
202.138.163.1/24 202.138.162.1/24 



















RouterA | f t RouterB 
分 支 网 关 国 s4 nierne 9 总 部 网 关 
GE2/0/0 Tunnel0/0/0 Tunnel0/0/0 GE2/0/0 
10.111/24 192.168.1.1/24 192.168.1.2/24 10 1 2 1/24 






GRE over IPsec 全 





PC B ， 
\ 10.1.2.2/24 az 


分 支 总 部 
图 6-17 GRE over IPSec 配置 示例 的 拓扑 结构 


假设 本 示例 中 的 AR G3 路 由 器 的 VRP 系统 版 本 为 V200R008。 

1. 基本 配置 思路 分 析 

本 示例 是 GRE 和 IPSec 两 种 隧道 技术 的 结合 应 用 ， 因 为 在 GRE VPN 中 ， 通 过 前 面 
的 介绍 已 获知 ， 它 是 不 能 为 在 隧道 中 传输 的 数据 提供 加 密 保 护 的 ， 而 IPSec 技术 正好 可 
以 弥补 GRE 的 不 足 。 

在 GRE over IPSec 中 ， 在 数据 通过 GRE 隧道 发 送 前 先进 行 GRE 封装 ， 然 后 再 进行 
IPSec 封闭， 这样 就 可 用 IPSec 的 加 密 功 能 保护 整个 发 送 的 GRE 报 文 。 也 正 因 如 此 ， 在 
本 示例 中 需要 在 隧道 两 端的 设备 上 同时 配置 GRE 和 IPSec， 需要 通过 隧道 传输 的 数据 流 
仍 是 由 以 GRE Tunnel 接口 为 出 接口 的 路 由 来 定义 的 , 最 终 的 IPSec 安全 策略 也 必须 在 这 
个 GRE Tunnel 接口 上 应 用 。 这 点 与 6.4.6 节 将 要 介绍 的 IPSec over GRE 的 应 用 有 着 本 质 
的 区 别 。 

前 面 说 到 了 ,在 GRE over IPSec 应 用 中 , IPSec 需要 保护 的 数据 流 是 基于 GRE Tunnel 
接口 定义 的 ， 所 以 这 时 要 采用 安全 框架 在 Tunnel 接口 上 应 用 ， 而 不 能 在 Tunnel 接口 上 
应 用 安全 策略 ， 有 具体 参见 本 书 第 4 章 相 关内 容 。 而 且 ， 因 为 数据 最 终 是 通过 GRE 隧道 的 
Tunnel 转发 的 ， 所 以 IPSec 的 安全 框架 是 直接 应 用 到 GRE 封装 的 Tunnel 接口 上 ， 而 无 
需 再 创建 IPSec 封装 的 Tunnel 接口 。 这 点 与 6.4.6 节 将 要 介绍 的 IPSec over GRE 的 配置 
方法 是 不 一 样 的 。 

本 示例 的 基本 的 配置 思路 如 下 。 

(1) 在 RouterA 和 RouterB 上 分 别 配 置 各 物理 接口 的 了 王 地 址 ， 以 及 到 达 对 端 公 网 的 
静态 路 由 ， 保 证 两 端 路 由 可 达 。 

(2) 在 RouterA 和 RouterB 上 分 别 创建 GRE Tunnel 接口 ， 并 为 其 配置 了 地 址 ( 通 
种 为 私 网 IP 地 址 )、GRE 封装 ， 指 定 隧 道 源 IP 地 址 和 目的 I 了 P 地 址 。 

(3) 在 RouterA 和 RouterB 上 分 别 配 置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 。 
假设 采用 ESP 安全 协议 ， 认 证 算法 为 SIHIA2-256， 加 密 算法 为 AES-128， 其 他 参数 均 采 
用 缺 省 配置 。 

(4) 在 RouterA 和 RouterB 上 分 别 配置 IKE 安全 提议 ， 其 中 认证 算法 采用 SHA2-256， 





PC 
10.1.1.2/24 
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加 密 算法 采用 AES-128， 与 IPSec 安全 提议 保持 一 致 。DH 组 为 group14， 其 他 安全 参数 
采用 缺 省 配置 。 

(5) 在 RouterA 和 RouterB 上 分 别 配置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 属 
性 ， 引 用 前 面 配置 的 IKE 安全 提议 ， 并 配置 IPSec 安全 提议 中 缺 省 采用 的 预 共享 密 钥 认 
证 方法 中 所 需 的 共享 密 钥 认证 (两 端的 配置 要 一 致 )。 

(6) 在 RouterA 和 RouterB 上 分 别 配置 安全 框架 ， 并 引用 前 面 配 置 的 IPSec 安全 提 
议和 IKE 对 等 体 。 

(7) 在 RouterA 和 RouterB 前 面 创 建 的 GRE Tunnel 接口 上 分 别 应 用 各 自 所 配置 的 安 
全 框架 ， 使 Tunnel 接口 具有 IPSec 的 保护 功能 。 

(8) 在 RouterA 和 RouterB 上 分 别 配置 以 GRE Tunnel 接口 为 出 接口 ， 转 发 到 达 对 端 
私 网 的 静态 路 由 ， 将 需要 IPSec 保护 的 数据 流 引 到 GRE Tunnel 接口 进行 转发 。 

2. 具体 配置 步骤 

(1) 分 别 在 RouterA 和 RouterB 上 配置 各 物理 接口 的 IP 地 址 和 到 对 端 公 网 的 静态 路 
由 ， 以 实现 隧道 两 端 设备 间 互 访 的 路 由 畅通 。 

# 在 RouterA 上 的 配置 ， 假 设 到 对 端的 下 一 跳 地 址 为 202.138.163.2。 


<Huawel> system-view 





[Huawei| sysname RouterA 

[RouterA | interface gigabitethernet 1/0/0 

[RouterA-GigabitEthernet1/0/0|] ip address 202.138.163.1 255.255.255.0 
[RouterA-GigabitEthernet1/0/0] quit 

[RouterA | interface gigabitethernet 2/0/0 

[RouterA-GigabitEthernet2/0/0| ip address 10.1.1.1 255.255.255.0 

[RouterA-GigabitEthernet2/0/0] quit 

[RouterA] ip route-static 202.138.162.0 255.255.255.0 202.138.163.2 #--- 到 达 对 端 公 网 的 静态 路 由 


# 在 RouterB 上 的 配置 ， 假 设 到 对 端 下 一 跳 地 址 为 202.138.162.2。 


<Huawel> system-view 

[Huawei| sysname RouterB 

[RouterB] interface gigabitethernet 1/0/0 
[RouterB-GigabitEthernet1/0/0] ip address 202.138.162.1 255.255.255.0 
[RouterB-GigabitEthernet1/0/0] quit 

[RouterB | interface gigabitethernet 2/0/0 
[RouterB-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[RouterB-GigabitEthernet2/0/0] quit 

[RouterB] ip route-static 202.138.163.0 255.255.255.0 202.138.162.2 


(2) 配置 GRE Tunnel 接口 ， 所 配置 的 Tunnel 接口 IP 地 址 必须 是 其 他 接口 不 在 同一 
PP 网 段 ， 通 第 是 私 网 IP 地 址 。 
# RouterA 上 的 配置 。 


[RouterA | interface tunnel 0/0/0 

[RouterA-Tunnel0/0/0] ip address 192.168.1.1 255.255.255.0 
[RouterA-Tunnel0/0/0] tunnel-protocol gre 
[RouterA-Tunnel0/0/0] source 202.138.163.1 
[RouterA-Tunnel0/0/0] destination 202.138.162.1 
[RouterA-Tunnel0/0/0] quit 


# RouterB 上 的 配置 。 

[RouterB] interface tunnel 0/0/0 

[RouterB-Tunnel0/0/0] ip address 192.168.1.2 255.255.255.0 
[RouterB-Tunnel0/0/0] tunnel-protocol gre 
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[RouterB-Tunnel0/0/0] sourece 202.138.162.1 
[RouterB-Tunnel0/0/0] destination 202.138.163.1 
[RouterB-Tunnel0/0/0] quit 


(3) 分 别 在 RouterA 和 RouterB 上 创建 IPSec 安全 提议 。 假 设 所 创建 的 IPSec 安全 
提议 名 称 均 为 prol (也 可 以 不 一 样 ) ， 认 证 算法 为 SHA2-256， 加 密 算法 为 AES-128， 
其 他 参数 保持 缺 省 。 

# 在 RouterA 上 配置 IPSec 安全 提议 。 


[RouterA] ipsec proposal prol 

[RouterA-ipsec-proposal-prol | esp authentication-algorithm sha2-256 
[RouterA-ipsec-proposal-prol | esp encryption-algorithm aes-128 
[RouterA-ipsec-proposal-prol | quit 


# 在 RouterB 上 配置 IPSec 安全 提议 。 


[RouterB| ipsec proposal prol 

[RouterB-ipsec-proposal-prol | esp authentication-algorithm sha2-256 
[RouterB-ipsec-proposal-prol | esp encryption-algorithm aes-128 
[RouterB-ipsec-proposal-prol | quit 


(4) 分 别 在 RouterA 和 RouterB 上 配置 IKE 安全 提议 。 假 设 新 创建 的 IKE 安全 提议 
序号 均 为 10〈 也 可 以 不 一 样 ) ， 认 证 算法 为 SHA2-256， 加 密 算 法 为 AES-128，DH 组 为 
2048 位 的 group14， 其 他 参数 保持 缺 省 。 

# 在 RouterA 上 配置 IKE 安全 提议 。 

[RouterA | ike proposal 10 

[RouterA-ike-proposal-10] authentication-algorithm sha2-256 

[RouterA-ike-proposal-10] encryption-algorithm aes-128 

[RouterA-ike-proposal-10] dh group14 

[RouterA-ike-proposal-10] quit 


# 在 RouterB 上 配置 IKE 安全 提议 。 


[RouterB| ike proposal 10 

[RouterB-ike-proposal-10] authentication-algorithm sha2-256 
[RouterB-ike-proposal-10] encryption-algorithm aes-128 
[RouterB-ike-proposal-10] dh group14 
[RouterB-ike-proposal-10] quit 


(5) 分 别 在 RouterA 和 RouterB 上 配置 IKE 对 等 体 ， 引 用 前 面 的 配置 的 IKE 安全 提 
议 ， 并 配置 共享 密 钥 〈 两 端 必须 一 致 ， 假 设 为 Huawei@1234) ， 其 他 可 选 参数 的 配置 均 
采用 缺 省 值 。 

# 在 RouterA 上 配置 IKE 对 等 体 。 


[RouterA | ike peer spub 

[RouterA-ike-peer-spub| ike-proposal 10 

[RouterA-ike-peer-spub] pre-shared-key cipher Huawei(@1234 

[RouterA-ike-peer-Spub] quit 

# 在 RouterB 上 配置 IKE 对 等 体 。 

[RouterB| ike peer spua 

[RouterB-ike-peer-spua| ike-proposal 10 

[RouterB-ike-peer-spua| pre-shared-key cipher Huawei@1234 

[RouterB-ike-peer-spua| quit 

(6) 分 别 在 RouterA 和 RouterB 上 创建 安全 框架 ，3 引 | 用 前 面 配置 的 下 Sec 安全 提议 
和 IKE 对 等 体 。 


# 在 RouterA 上 配置 安全 框架 。 
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站 


[RouterA] ipsec profile profilel 
[RouterA-ipsec-profile-profile1] proposal prol 
[RouterA-ipsec-profile-profilel |] ike-peer spub 
[RouterA-ipsec-profile-profilel] quit 


# 在 RouterB 上 配置 安全 框架 。 


[RouterB | ipsec profile profilel 
[RouterB-ipsec-profile-profilel |] proposal prol 
[RouterB-ipsec-profile-profilel| ike-peer spua 
[RouterB-ipsec-profile-profile1] quit 


(7) 分 别 在 RouterA 和 RouterB 上 前 面 创建 的 GRE Tunnel 接口 上 应 用 各 自 的 安全 框 
使 得 通过 Tunnel 接口 转发 的 报 文 得 到 IPSec 保护 。 


[RouterA | interface tunnel 0/0/0 
[RouterA-Tunnel0/0/0] ipsec profile profilel 
[RouterA-Tunnel0/0/0] quit 


[RouterB | interface tunnel 0/0/0 
[RouterB-Tunnel0/0/0] ipsec profile profilel 
[RouterB-Tunnel0/0/0] quit 


此 时 在 RouterA 和 RouterB 上 执行 display ipsec profile 会 显示 所 配置 的 信息 。 
(8) 分 别 在 RouterA 和 RouterB 上 配置 GRE Tunnel 接口 的 转发 静态 路 由 ， 将 需要 


IPSec 保护 的 ， 到 达 对 端 私 网 的 数据 流 引 到 经 由 Tunnel 接口 转发 ， 静 态 路 由 中 的 出 接口 
为 各 目的 GRE Tunnel 接口 ， 因 为 Tunnel 接口 缺 省 的 链 路 层 协议 为 PPP， 所 以 可 在 静态 
路 由 中 不 指定 下 一 跳 卫 地 址 。 


[RouterA] ip route-static 10.1.2.0 255.255.255.0 tunnel 0/0/0 


[RouterB] ip route-static 10.1.1.0 255.255.255.0 tunnel 0/0/0 
3. 配置 配置 结果 验证 
以 上 配置 好 后 ， 可 分 别 在 RouterA 和 RouterB 上 执行 display ike sa 会 显示 所 建立 的 





SA 信息 。 以 下 是 在 RouterA 上 执行 该 命令 的 输出 信息 示例 ， 从 中 可 以 看 出 ，IKE 两 个 阶 
段 的 SA 部 已 建立 好 了 (参见 输出 信息 中 的 粗 体 部 分 〉。 


[RouterA] display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
22 202.138.162.1 0 RDIST v2:2 
21 202.138.162.1 0 RDIST v2:1 


Number of SA entries :2 
Number of SA entries of all cpu : 2 


Flag Description: : 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQNO. BCK--BACKED UP 
M--ACTIVE S$S--STANDBY A--ALONE NEG--NEGOTIATING 


6.4.6 IPSec over GRE 配置 示例 | 


如 图 6-18 所 示 ，Router 1 为 公司 分 支 网 关 ，Router 2 为 公司 总 部 网 关 ， 分 文 机 构 与 


总 部 通过 公 网 建立 通信 。 现 公司 分 文 机 构 硕 望 与 总 部 通过 GRE 降 道 实现 私 网 互通 ,对 分 
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文 机 构 与 总 部 之 间 相 互 访问 的 流量 〈 不 包括 组 播 数 据 ) 进行 安全 保护 。 因 此 ， 可 基于 虚 
拟 隧 道 接口 方式 建立 IPSec over GRE， 对 分 支 和 总 部 互通 的 流量 进行 保护 。 


分 支 网 关 总 部 网 关 


Router 1 GE1/0/0 GE1/0/0 Router 2 
i 202.138.163.1/24 202.138.162.1/24 hs 









Internet 









TunnelO0/0/0 Tunnel0/0/0 
GE2/0/0 192.168.1.1/24 192.168.1.2/24 


10.1.1.1/24 
IPSec over GRE 类 


Tunnel0/0/1 Tunnel0/0/1 
“mi |]92.168.2.1/24 192.168.2.2/24 











GE2/0/0 
10.1.2.1/24 












PC 2 
10.1.2.2/24 


10.1.1.2/24 
总 部 
图 6-18 IPSec over GRE 配置 示例 的 拓扑 结构 


假设 本 示例 中 的 AR G3 路 由 器 运行 的 VRP 软件 版 本 为 V200R008。 

1. 基本 配置 思路 分 析 

本 示例 与 6.4.5 节 介 绍 的 GRE over IPSec 应 用 案例 总 体 考虑 是 差不多 的 ， 但 本 示例 
中 需要 保护 的 数据 流 中 不 包括 组 播 数据 ， 在 最 终 定义 需要 通过 隧道 转发 的 数据 流 不 能 
括 组 播 数据 流 ， 所 以 不 能 直接 用 GRE VPN 方案 ,也 不 能 直接 用 6.4.5 节 介 绍 的 GRE over 
IPSec， 而 要 选择 IPSec over GRE 方案 。 因 为 在 PSec over GRE 方案 中 ， 会 先 对 数据 报 
文 进行 IPSec 封 锋 ， 这 时 只 能 是 单 播 放 数 据 流 ， 然 后 再 通过 GRE 封装 后 ， 里 面 仍 只 有 单 
播 流 量 ， 确 保 了 组 播 数据 不 通过 GRE 隧道 传输 。 

在 IPSec over GRE 方案 中 , 针对 GRE 和 IPSec 要 分 别 创 建 对 应 类 型 的 Tunnel 接口 ， 
但 因为 该 方案 中 最 终 建立 的 仍 是 GRE 隧道 , 所 以 经 由 IPSec Tunnel 接口 转发 的 报 文 必须 
再 经 由 GRE Tunnel 接口 进行 转发 ， 也 就 是 GRE Tunnel 接口 是 IPSec Tunnel 接口 的 源 接 
口 。 当 然 这 里 同样 要 基于 虚拟 隧道 接口 来 配置 IPSec 方案 ， 最 终 在 IPSec Tunnel 接口 上 
应 用 安全 框架 。 

本 示例 的 基本 配置 思路 如 下 。 

(1) 在 Router 1 和 Router 2 上 配置 各 物理 接口 的 IP 地 址 和 到 达 对 端 公 网 的 静态 路 
由 ， 你 证 两 端 公 网 路 由 可 达 。 

(2) 在 Router 1 和 Router 2 上 分 别 创 建 GRE Tunnel 接口 ， 配 置 耻 地 址 、GRE 封 
装 协议 、 源 和 目的 卫 地 址 。 

(3) 在 Router 1 和 Router 2 上 分 别 配 置 IPSec 安全 提议 ， 定 义 IPSec 的 保护 方法 。 
假设 认证 算法 为 SHA2-256， 加 密 算法 为 AES-128， 其 他 参数 全 部 采用 缺 省 配置 。 

(4) 在 Router 1 和 Router 2 上 分 别 配置 IKE 安全 提议 ,其 中 认证 算法 采用 SHA2-256， 
加 密 算 法 采用 AES-128， 与 IPSec 安全 提议 保持 一 致 。DH 组 为 group14， 其 他 安全 参数 
采用 缺 省 配置 。 

(5) 在 Router 1 和 Router 2 上 分 别 配 置 IKE 对 等 体 ， 定 义 对 等 体 间 IKE 协商 时 的 
属性 ， 引 用 前 面 配置 的 IKE 安全 提议 ， 并 配置 IPSec 安全 提议 中 缺 省 采用 的 预 共享 密 钼 
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认证 方法 中 所 需 的 共享 密 钥 认证 (两 端的 配置 要 一 致 )。 

(6) 在 Router 1 和 Router 2 上 分 别 配置 安全 框架 ， 并 引用 前 面 配置 的 IPSec 安全 所 
议和 IKE 对 等 体 。 

(7) 在 Router 1 和 Router 2 上 分 别 创建 的 IPSec Tunnel 接口 ， 并 将 本 闹 的 IPSec 
Tunnel 的 源 接口 配置 为 本 端的 GRE Tunnel 接口 , 且 IPSec Tunnel 的 目的 地 址 的 路 由 必须 
是 以 GRE Tunnel 接口 为 出 接口 。 

(8) 在 Router 1 和 Router 2 上 分 别 在 IPSec Tunnel 接口 上 应 用 安全 框架 , 使 接口 上 


有 IPSec 的 保护 功能 。 

(9) 在 Router 1 和 Router 2 上 分 别 配置 IPSec Tunnel 接口 的 转发 静态 路 由 ， 将 需要 
IPSec 保护 的 数据 流 引 到 IPSec Tunnel 接口 上 。 

2 具体 配 置 步骤 

(1) 分 别 在 Router 1 和 Router 2 上 配置 各 物理 接口 的 IP 地址 ， 以 及 到 达 对 靖 公 网 
的 静态 路 由 。 

# Router 1 上 的 配置 。 假 设 到 对 端的 下 一 跳 地 址 为 202.138.163.2。 


<Huawel> system-view 

[Huawei] sysname Router 1 

[Router 1] interface gigabitethernet 1/0/0 

[Router 1-GigabitEthernetl/0/0| ip address 202.138.163.1 255.255.255.0 
[Router 1-GigabitEthernet1/0/0] quit 

[Router 1] interface gigabitethernet 2/0/0 

[Router 1-GlgabitEthernet2/0/0] ip address 10.1.1.1 255.255.255.0 
[Router 1-GigabitEthernet2/0/0] quit 

[Router 1] ip route-static 202.138.162.0 255.255.255.0 202.138.163.2 


# Router 2 上 的 配置 。 假 设 到 对 端 下 一 跳 地 址 为 202.138.162.2。 


<Huawel> system-view 

[Huawel]l sysname Router 2 

[Router 2] interface gigabitethernet 1/0/0 

[Router 2-GigabitEthernet1/0/0| ip address 202.138.162.1 255.255.255.0 
[Router 2-GigabitEthernet1/0/0] quit 

[Router 2] interface gigabitethernet 2/0/0 

[Router 2-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 
[Router 2-GigabitEthernet2/0/0] quit 

[Router 2] ip route-static 202.138.163.0 255.255.255.0 202.138.162.2 


(2) 分 别 在 Router 1 和 Router 2 上 创建 并 配置 GRE Tunnel 接口 。 
# Router 1 上 的 配置 。 


[Router 1] interface tunnel 0/0/0 

[Router 1-Tunnel0/0/0] ip address 192.168.1.1 255.255.255.0 

[Router 1-Tunnel0/0/0] tannel-protocol gre 

[Router_1-Tunnel0/0/0] source 202.138.163.1 #--- 配 置 隧道 的 源 IP 地 址 为 本 设备 GE1/0/0 接口 的 了 他 地址 

[Router _ 1-Tunnel0/0/0] destination 202.138.162.1 #--- 配 置 隧道 的 目的 他 地 址 为 对 端 设备 Router 2 的 GE1/0/0 接口 的 
PP 地 址 

[Router 1-Tunnel0/0/0] quit 


# Router 2 上 的 配置 。 


[Router 2] interface tunnel 0/0/0 
[Router 2-Tunnel0/0/0] ip address 192.168.1.2 255.255.255.0 


[Router 2-Tunnel0/0/0] tunnel-protocol gre 
[Router 2-Tunnel0/0/0] source 202.138.162.1 #--- 配 置 隧道 的 源 IP 地 址 为 本 设备 GE1/0/0 接口 的 全 地 址 
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Router 2-Tunnel0/0/0] destination 202.138.163.1 #--- 配 置 隘 道 的 目的 I 了 P 地 址 为 对 端 设备 Router 1 的 GE1/0/0 接口 的 
IP 地 址 


[Router 2-Tunnel0/0/0] quit 
(3) 分 别 在 Router 1 和 Router 2 上 创建 IPSec 安全 提议 ， 认 证 算法 为 SHA2-256， 
加 密 算 法 为 AES-128， 其 他 参数 采用 缺 省 配置 。 


[Router 1] ipsec proposal tran1 

[Router 1-ipsec-proposal-tranl | esp authentication-algorithm sha2-256 
[Router 1-ipsec-proposal-tranl| esp encryption-algorithm aes-128 
[Router 1-Ipsec-proposal-tran1] quit 


[Router 2] ipsec proposal tran1 

[Router 2-ipsec-proposal-tranl| esp authentication-algorithm sha2-256 
[Router 2-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
[Router 2-ipsec-proposal-tran1] quit 


(4) 分 别 在 Router 1 和 Router 2 上 配置 IKE 安全 提议 〈 提 议 序 列 号 可 以 一 致 ， 也 
可 不 一 致 ;， 认 证 算法 为 SHA2-2$6， 加 密 算 法 为 AES-128，DH 组 为 2048 位 的 group14， 
其 他 参数 采用 缺 省 配置 。 


[Router 1| ike proposal 5 

[Router 1-ike-proposal-5] authentication-algorithm sha2-256 
[Router 1-ike-proposal-5] encryption-algorithm aes-128 
[Router 1-ike-proposal-5| dh group14 

[Router 1-ike-proposal-5] quit 


[Router 2] ike proposal 5 

[Router 2-ike-proposal-5] authentication-algorithm sha2-256 
[Router 2-ike-proposal-5] encryption-algorithm aes-128 
[Router 2-ike-proposal-5] dh group1l4 

[Router 2-ike-proposal-5] quit 


(5) 分 别 在 Router 1 和 Router 2 上 配置 IKE 对 等 体 〈 对 等 体 名 称 可 以 一 致 ， 也 可 
以 不 一 致 )， 引 用 前 面 创建 的 IKE 安全 提议 ， 并 配置 共享 密 钥 〈 两 端 配置 要 一 致 )。 


[Router 1| ike peer spub 

[Router 1-ike-peer-spub| ike-proposal 5 

[Router 1-ike-peer-spub] pre-shared-key cipher Huawei(@1234 
[Router 1-ike-peer-spub| quit 


[Router 2] ike peer spua 

[Router 2-ike-peer-Spuaj ike-proposal ”> 

[Router 2-ike-peer-Spua] pre-shared-key cipher Huawei(@1234 
[Router 2-ike-peer-spual] quit 


(6) 分 别 在 Router 1 和 Router 2 上 创建 安全 框架 , 引用 前 面 配 置 的 IPSec 安全 提议 、 
对 等 体 ， 其 他 参数 按 缺 省 配 置 。 


[Router 1] ipsec profile profilel 

[Router 1-ipsec-profile-profile1] proposal tran1 
[Router 1-ipsec-profile-profilel| ike-peer spub 
[Router 1-ipsec-profile-profilel| quit 


[Router 2| ipsec profile profilel 

[Router 2-ipsec-profile-profile1] proposal tranl 
[Router 2-ipsec-profile-profilel | ike-peer spua 
[Router 2-ipsec-profile-profilel] quit 


(7) 分 别 在 Router 1 和 Router 2 上 创建 IPSec 封装 的 Tunnel 接口 (使 其 不 支持 组 
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播 数 据 传输 ), 并 配置 IP 地 址 , 隧道 源 接 口 的 source 为 本 问 在 前面 创建 的 GRE tunnel 口 ， 
隧道 目的 卫 地址 为 对 端的 GRE Tunnel 接口 的 卫 地址。 
# Router 1 上 的 配置 。 


[Router 1] interface tunnel 0/0/] 

[Router 1-Tunnel0/0/1] ip address 192.168.2.1 255.255.255.0 

[Router 1-Tunnel0/0/1] tunnel-protocol ipsec #-- 指 定 以 上 Tunnel 接口 采用 IPSec 封装 

[Router 1-Tunnel0/0/1] source tunnel 0/0/0”#--- 指 定 IPSec 隧道 源 接口 为 本 端的 GRE Tunnel 接口 

[Router 1-Tunnel0/0/1] destination 192.168.1.2 #--- 指 定 IPSec 隧道 目的 耻 地 址 为 对 端的 GRE Tunnel 接口 的 下 地址 
[Router 1-Tunnel0/0/1] quit 


# Router 2 上 的 配置 。 


[Router 2] interface tunnel 0/0/] 

[Router 2-Tunnel0/0/1] ip address 192.168.2.2 255.255.255.0 
[Router 2-Tunnel0/0/1] tunnel-protocol ipsec 

[Router 2-Tunnel0/0/1] source tunnel 0/0/0 

[Router 2-Tunnel0/0/1] destination 192.168.1.1 

[Router 2-Tunnel0/0/1] quit 


(8) 分 别 在 Router 1 和 Router 2 的 IPSectunnel 接口 上 应 用 各 局 人 


[Router 1] interface tunnel 0/0/1 
[Router 1-Tunnel0/0/1] ipsec profile profilel 
[Router 1-Tunnel0/0/1] quit 


[Router 2] interface tunnel 0/0/1 
[Router 2-Tunnel0/0/1] ipsec profile profilel 
[Router 2-Tunnel0/0/H quit 


此 时 在 Router 1 和 Router 2 上 执行 display ipsec profile 会 显示 所 配置 的 安全 框架 
言 县 。 

(9) 分 别 在 Router 1 和 Router 2 上 配置 IPSec Tunnel 接口 的 私 网 转发 路 由 ， 将 需要 
IPSec 保护 的 私 网 通信 数据 流 引 到 IPSec Tunnel 接口 上 。 


[Router 1] ip route-static 10.1.2.0 255.255.255.0 tunnel 0/0/1 
[Router 2] ip route-static 10.1.1.0 255.255.255.0 tunnel 0/0/1 


3. 配置 配置 结果 验证 

以 上 配置 好 后 ， 可 分 别 在 Router 1 和 Router 2 上 执行 display ike sa 会 显示 所 建立 
的 SA 信息 。 以 下 是 在 Router_1 上 执行 该 命令 的 输出 示例 ， 可 以 看 出 ，IKE 两 个 阶段 的 
IKE SA 和 IPSec SA 均 已 建立 好 (参见 输出 信息 中 的 粗 体 字 部 分 ) ， 表 明 IKE 协商 是 成 
功 的 ， 也 证 明 我 们 前 面 的 配置 是 正确 的 。 


[Router 1] display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
22 192.168.1.2 0 RD y2:2 
21 192.168.1.2 0 RD v2:1 


Number of SA entries :2 


Number of SA entries of all cpu : 2 


Flag Description: 

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP 
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING 
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6.5 ”GRE 典型 故障 排除 


在 GRE 的 应 用 部 闭 中 ， 可 能 出 现 的 故障 主要 有 两 类 : 一 是 两 端的 Tunnel 接口 Ping 
不 通 ; 二 是 两 端的 Tunnel 接口 可 以 Ping 通 ， 但 两 端 私 网 用 户 不 能 互 访 。 下 面 分 别 介绍 
它们 的 故障 排除 方法 。 


6.5.1 ”隧道 两 端 Ping 不 通 的 故障 排除 


这 种 故障 现象 体现 为 从 一 端的 GRE 设备 上 无 法 Ping 通 对 端 Tunnel 接口 IP 地 址 ， 
这 显然 是 因为 GRE 隧道 没有 建立 成 功 。 因 为 GRE 隧道 是 基于 Tuunel 接口 建立 的 ， 所 以 
需要 重点 检查 两 端的 Tunnel 接口 配置 。 

这 时 可 以 先 通过 在 两 端 GRE 设备 执行 display interface tunnel 命令 查看 对 应 Tunnel 
接口 的 工作 状态 ， 也 就 是 三 层 协 议 状态 。 正 常情 况 下 ，Tunnel 接口 的 工作 状态 和 链 路 层 
协议 状态 应 均 为 UP， 如 下 所 示 : 

<Huawei> display interface tunnel 0/0/1 

Tunnel0/0/2 current state : UP 


Line protocol current state : UP 


sss 2 


当然 ， 即 使 Tunnel 接口 的 工作 状态 和 链 路 层 协 议 状态 都 UP 了 ， 还 是 有 可 能 因 其 他 
原因 导致 两 端 不 能 互通 。 下 和 面 分 别 进行 分 析 。 

1 一端 或 两 端 Tunnel 接口 工作 状态 为 Down 

Tunnel 接口 如 果 都 工作 不 正常 , 状态 为 Down 的 话 , 那 依靠 Tunnel 接口 建立 的 GRE 
隧道 肯定 建立 不 成 功 了 。 但 一 般 Tunnel 接口 的 链 路 层 协 议会 UP 的 ， 因 为 Tunnel 接口 是 
逻辑 接口 ， 不 存在 实际 链 路 ， 只 要 配置 有 链 路 层 协 议 ， 它 的 链 路 层 协 议 状态 就 会 UP， 
缺 省 情况 下 Tunnel 接口 的 链 路 层 协议 为 PPP。 所 以 此 时 重点 检查 Tunnel 接口 的 工作 状态 
( 即 三 层 协 议 状态 )， 如 果 通 过 在 两 端 执行 display interface tunnel 命令 后 发 现 有 一 端 或 
者 两 端的 Tunnel 接口 工作 状态 为 Down， 则 可 按 以 下 思路 来 进行 排除 。 

(1) 检查 两 端 Tunnel 接口 的 封装 模式 是 否 一 致 

为 我 们 这 里 建立 的 是 GRE 降 道 ,所 以 使 用 的 Tunnel 接口 的 封 逆 协议 必须 均 为 GRE 
模式 (在 本 书 第 4 章 已 介绍 到 ，Tunnel 接口 还 可 以 有 IPSec 或 P2MP 等 其 他 模式 )。 可 以 
在 该 Tunnel 的 接口 视图 下 执行 display this interface 命令 来 检查 两 关 Tunnel 接口 的 封装 
模式 是 否 均 为 GRE。 如 果 显 示 为 “Tunnel protocol/transport GRE/IP”， 则 说 明 接 口 的 封装 
模式 为 GRE， 是 正确 的 。 

如 果 两 端的 封装 模式 不 都 是 GRE， 请 在 Tunnel 接口 视图 下 执行 ttnnel-protocol gre 
命令 重新 配置 接口 封装 模式 为 GRE。 





重新 配置 Tunnel 接口 的 封装 协议 后 ， 原 有 的 源 和 目的 地 址 配置 等 将 丢失 ， 需 要 
重新 配置 。 
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(2) 检查 Tunnel 接口 配置 是 否 正 确 

如 果 通 过 检查 发 现 两 端的 Tunnel 接口 封装 模式 相同 ， 且 均 已 为 GRE 模式 ， 则 检查 
两 端 Tunnel 接口 是 否 配置 了 卫 地 址 ， 是 否 配置 了 隧道 的 源 IP 地 址 (或 源 接口 ) 和 目的 
IP 地 址 ， 而 且 两 端的 配置 是 否 互 已 为 源 卫 地 址 (或 源 接口 ) 和 目的 卫 地 址 。 因 为 如 果 
不 是 互 为 源 和 目的 了 P 地 址 ， 则 就 不 能 共同 建立 一 条 隧道 。 

Tunnel 接口 卫 地 址 的 配置 是 基础 前 提 ， 因 为 只 有 配置 了 卫 地 址 ， 才 能 在 该 接口 上 
启用 卫 协议 ， 使 它 可 以 工作 在 的 三 层 状态 下 。 但 两 端的 Tunnel 接口 的 卫 地 址 可 以 在 同 
一 JP 网 段 ， 也 可 以 不 在 同一 IP 地 址 ， 因 为 Tunnel 运行 的 是 PPP 链 路 层 协议 。 人 至 于 隧道 
的 源 卫 地 址 (或 源 接口 ) 和 目的 卫 地 址 则 是 建立 GRE 隧道 的 必 备 参数 配置 否则 系统 
就 无 法 知道 这 个 GRE 隧道 的 起 始 和 终止 的 地 方 了 。 隧 道 的 源 卫 地址 (或 源 接口 ) 和 目 
的 全 地 址 都 是 GRE 设备 连接 公共 网 络 侧 接口 的 卫 地 址 《或 公 网 侧 接口 )。 

此 时 ， 可 以 在 Tunnel 接口 视图 下 执行 display this 命令 来 检查 两 端 Tunnel 接口 的 配 
置信 息 。 如 果 Tunnel 接口 的 配置 信息 中 ， 两 端 没有 互 为 源 IP 地 址 (或 源 接口 ) 和 目的 
IP 地 址 (也 就 是 本 端 配 置 的 源 IP 地 址 一 定 要 是 对 端 配置 的 目的 IP 地 址 ， 反 之 亦 然 )， 
则 在 Tunnel 接口 视图 下 ,执行 source { source-ip-address | interface-type interface-number } 
和 destination dest-ip-address 命令 重新 配置 Tunnel 的 源 卫 地 址 (或 源 接口 ) 和 目的 他 地址。 

(3) 检 碍 两 问 是 否 存 在 到 达 对 问 的 公 网 路 由 

如 果 两 端的 Tunnel 配置 中 已 互 为 源 耳 地 址 (或 源 接口 ) 和 目的 卫 地址 了 ， 则 要 检 
查 隧道 的 源 PP 地 址 和 目的 IP 地 址 之 间 是 否 存在 可 达 路 由 。 当 然 ， 如 果 Tunnel 的 源 接口 
与 目的 接口 之 是 是 直 连 的 ， 就 不 会 存在 路 由 的 问题 。 

此 时 可 执行 display ip routing-table 命令 查看 本 地 IP 路 由 表 ， 看 有 没有 到 达 对 方 公 
网 接口 (注意 : 不 是 Tunnel 接口 ) 的 路 由 表 项 。 如 果 有 ， 再 使 用 display fib 命令 查看 转 
发 表 (FIB 表 )， 看 是 否 有 到 达 对 方 公 网 接口 的 转发 表 项 ， 因 为 在 路 由 表 中 有 路 由 表 项 还 
不 一 定 在 转发 表 中 存在 对 应 的 转发 项 , 而 真正 的 数据 转发 依据 的 是 转发 表 中 的 转发 表 项 。 
如 果 源 IP 地 址 和 目的 IP 地 址 之 间 不 存在 到 达 对 方 的 路 由 ， 则 根据 需要 配置 到 达 对 方 公 
网 的 静态 路 由 或 者 动态 路 由 协议 ， 使 源 卫 地 址 和 目的 IP 地 址 之 间 路 由 可 达 。 

通过 以 上 排除 ， 两 端的 Tunnel 接口 的 工作 状态 应 该 均 为 UP 了 ， 但 仍 不 能 保证 两 端 
的 Tunnel 接口 加 一 定 可 以 互通 了 。 下 面 介绍 这 种 情形 的 故障 排除 方法 。 

2， 两 端 Tunnel 接口 的 网 络 层 协议 都 UP， 但 仍 不 能 互通 

这 种 情形 下 ， 己 可 以 确定 故障 原因 不 再 是 Tunnel 接口 以 上 所 分 析 的 基础 配置 问题 
了 ， 这 时 就 只 有 一 种 可 能 ， 那 就 是 两 端的 GRE Key 配置 不 一 致 。 如 果 你 配置 了 Tunnel 
接口 的 识别 关键 字 ， 则 要 确保 隧道 两 端的 这 项 配置 保持 一 致 。 

可 在 两 端 执行 display interface tunnel 命令 检 答 两 咒 Tunnel 接口 的 GRE Key 是 合 一 
致 。 正 确 的 配置 为 。 

。 两 端 都 不 配置 GRE Key。 

。 两 六 配置 相 同 的 key-number。 


6.5.2 ”隧道 是 通 的 ， 但 两 端 私 网 不 能 互 访 的 故障 排除 
这 种 故障 现象 表明 ，GRE 隧道 虽然 是 建立 成 功 的 , 但 源 端 私 网 用 户 发 送 的 数据 没有 
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成 功 通 过 隧道 传输 到 对 端 私 网 中 的 目的 主机 ， 这 时 的 故障 原因 基本 上 路 由 的 配置 7 了 7， 具 
体 可 能 有 以 下 几 方 面 的 可 能 。 

(1) 没有 为 私 网 中 的 数据 报 文 配置 经 由 Tunnel 接口 转发 的 路 由 

在 基于 Tunnel 接口 的 隧道 建立 方式 下 ， 数 据 流 的 定义 就 是 通过 配置 以 Tunnel 接口 
为 出 接口 的 路 由 来 引导 这 些 数据 流 进 入 隧道 转发 ， 如 果 没 有 配置 相应 的 路 由 ， 则 用 户 数 
据 报 文 是 不 可 能 通过 隧道 来 转发 的 。 

这 时 我 们 可 以 通过 在 GRE 设备 上 执行 display ip routing-table 命令 查看 本 地 IP 路 由 
表 , 看 有 没有 到 达 对 方 私 网 的 路 由 表 项 。 如 果 有 , 再 使 用 display fib 命令 查看 转发 表 (FIB 
表 )， 看 是 否 有 到 达 对 方 私 网 的 转发 表 项 。 

如 果 没 有 ， 则 根据 需要 选择 静态 或 动态 路 由 在 两 端 配 置 到 达 对 端 私 网 的 路 由 。 如 果 
采用 的 是 静态 路 由 配置 方式 ， 目 的 网 段 就 是 对 端 私 网 的 IP 网 段 ， 出 接口 是 本 端 Tunnel 
接口 ， 可 不 用 指定 下 一 跳 IP 地 址 ; 如果 采用 的 是 动态 路 由 配置 方式 ， 私 网 和 Tunnel 接 
口 IP 地 址 所 在 网 段 的 路 由 要 在 同一 路 由 协议 进程 下 配置 。 

当然 ， 如 果 进 入 GRE 设备 的 不 是 卫 报 文 ， 而 是 FR、PPP、 以 太 网 等 二 层 报 文 ， 此 
时 就 需要 在 隧道 两 端 配置 好 Link-bridge 功能 ， 把 入 接口 与 Tunnel 接口 绑 定好 。 

(2) Tunnel 接口 所 在 网 段 的 路 由 没有 与 公 网 路 由 隔离 

如 果 在 公 网 和 私 网 都 采用 相同 的 动态 路 由 协议 来 配置 路 由 ， 则 此 时 要 特别 注意 ， 所 
配置 的 Tunnel 接口 的 下 地 址 一 定 不 要 包含 在 公 网 的 动态 路 由 协议 中 network 命令 所 通 
告 的 范围 内 。 特 别 是 RIP 协议 ， 由 于 它 是 采用 自然 网 段 进 行 通告 的 ,所 以 Tunnel 接口 IP 
地 址 不 能 在 它 所 配置 的 network 命令 所 通告 的 整个 网 段 范围 内 。 否则 Tunnel 接口 之 间 的 
数据 转发 也 会 通过 公 网 路 由 进行 , 而 不 会 通过 GRE 隧道 了 , 私 网 中 用 户 发 送 的 数据 报 文 
更 不 会 通过 GRE 隧道 传输 了 。 

如 配置 的 Tunnel 接口 的 卫 地 址 为 20.1.1.1/24, 而 GRE 设备 的 公 网 接口 的 卫 地 址 为 
20.10.1.1/24。 如 果 采 用 的 是 OSPF 协议 还 好 说 ， 因 为 OSPF 协议 中 的 network 命令 可 以 
通过 通配符 掩 码 精确 匹配 公 网 接口 对 应 的 20.10.1.1/24 子 网 , 不 会 使 得 Tunel 接口 也 加 入 
到 对 应 的 OSPF 进程 中 。 

但 是 ， 如 果 公 网 路 由 中 使 用 的 是 RIP 路 由 协议 ， 这 样 配置 Tunnel 接口 IP 地 址 束 不 
行 了 ， 因 为 RIP 协议 中 的 network 命令 是 没有 通配符 掩 码 的 ， 所 以 网 段 的 通告 都 是 以 共 
体 接口 IP 地 址 所 对 应 的 自然 网 段 进 行 通告 的 。 如 GRE 设备 的 公 网 接口 的 卫 地 址 为 
20.10.1.1/24， 它 就 只 能 配置 为 network 20.0.0.0， 对 应 的 是 8 位 子 网 掩 码 的 A 类 网 段 ， 
而 如 果 Tunnel 接口 的 卫 地 址 仍 配置 为 20.1.1.1/24， 则 恰好 在 20.0.0.0/8 这 个 大 的 网 段 范 
围 内 ， 这 样 最 终 使 得 Tunnel 接口 与 设备 公 网 接口 加 入 到 同一 个 RIP 路 由 进程 下 ， 最 终 使 
得 Tunnel 接口 所 在 网 段 也 是 使 用 公 网 路 由 进行 数据 转发 的 , 这 显然 与 我 们 的 实际 需求 是 
不 相符 的 。 

但 不 管 使 用 哪 种 动态 路 由 器 协议 ， 如 果 私 网 路 由 也 采用 动态 路 由 配置 方式 ， 则 还 要 
注意 的 是 ，Tunnel 接口 所 在 网 段 和 私 网 网 段 要 在 同一 个 路 由 进程 中 配置 ， 而 且 一 定 不 要 
与 两 端 GRE 设备 公 网 间 所 采用 的 相同 动态 路 由 协议 的 路 由 进程 一 样 。 
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DSVPN (Dynamic Smart VPN Virtual Private Network， 动 态 智能 VPN ) 是 在 Hub- 
Spoke 网 络 模型 中 实现 分 支 与 总 部 、 分 支 与 分 支 间 通过 公 网 (主要 指 Internet ) 动态 建立 
VPN 的 一 种 技术 。 它 的 最 大 特点 就 是 分 支 间 可 采用 动态 IP 地 址 分 配 的 公 网 接 入 方式 (如 
各 种 拨号 接 入 方式 ) 实现 VPN 互联， 满足 了 更 广泛 的 中 小 企业 分 支 构建 VPN 的 需求 。 
因为 在 GRE VPN 中 , 通常 要 求 两 端 有 固定 的 公 网 JP 地址 (动态 IP 地址 也 可 以 , 但 一 旦 
IP 地 址 发 生 改 变 又 得 重 配 ， 比 较 麻 烦 )， 限 制 了 一 部 分 采用 动态 IP 地 址 分 配 的 Internet 
接 入 分 支 企 业 用 户 的 使 用 。 

DSVPN 也 是 基于 GRE 隧道 技术 ， 所 构建 的 也 是 GRE 隧道 ， 但 它 与 本 书 第 6 章 所 
介绍 的 一 对 一 的 GRE 隧道 不 同 的 是 ，DSVPN 的 Tunnel 接口 封装 模式 是 mGRE (多 点 
GRE ), 可 以 实现 一 对 多 的 GRE 隧道 构建 。 即 一 个 mGRE Tunnel 接口 可 以 同时 与 多 个 对 
端 建立 VPN 通信 ， 这 样 就 可 使 一 对 多 的 VPN 通信 配置 、 线 路 部 署 更 加 容易 。 

DSVPN 之 所 以 可 在 分 支 采用 动态 卫 地 址 分 配 Internet 接 入 方式 时 与 企业 总 部 ， 甚 
至 同样 采用 动态 IP 地 址 分 配 Internet 接 入 方式 的 其 他 分 支 建立 VPN， 其 核心 技术 就 是 
NHRP (Next Hop Resolution Protocol， 下 一 跳 解 析 协 议 )。 它 可 以 收集 、 维 护 各 站 点 动态 
变化 的 公 网 IP 地 址 等 信息 ， 解 决 了 无 法 事先 获得 通信 对 端 公 网 IP 地 址 的 问题 。 

整体 来 说 ，DSVPN 的 配置 并 不 复杂 ， 但 它 有 两 种 不 同 的 应 用 场景 (shortcut 和 非 
shortcut )， 不 同 场 景 下 的 配置 方法 也 不 完全 一 样 ， 而 且 总 部 、 分 支 子 网 路 由 互通 方面 又 
可 以 有 多 种 配置 方式 ， 使 得 DSVPN 可 以 提供 非常 灵活 的 部 署 方案 的 同时 也 给 我 们 的 学 
习 带 来 一 定 的 难度 。 另 外 ， 还 涉及 到 诸如 双 Hub 备份 、NAT 穿越 、DSVPN over IPSec 

本 章 将 全 面 介绍 DSVPN 中 的 相关 技术 原理 、 各 项 配置 任务 的 具体 配置 方法 。 同 时 
也 将 在 本 章 最 后 介绍 多 个 不 同 网 络 环境 、 采 用 不 同 应 用 场景 、 不 同 子 网 路 由 方案 ， 以 及 
各 种 应 用 方案 的 配置 示例 ， 以 帮助 大 家 加 深 对 DSVPN 技术 原理 和 各 项 配置 任务 的 具体 
配置 方法 的 理解 ， 也 可 供 大 家 在 实际 工作 应 用 中 直接 参考 。 


7.1 DSVPN 综述 


在 现 有 的 VPN 组 网 方案 中 ， 一 般 采 用 GRE、L2TP、IPSec 以 及 MPLS 等 方式 。 但 
是 这 些 VPN 方案 都 存在 一 个 弊端 ， 就 是 必须 为 每 对 VPN 连接 进行 一 一 配置 。 当 有 较 多 
网 络 ( 假 设 为 N 个 ) 需要 进行 VPN 连接 时 ， 就 必须 为 Nx(N-1)/2 个 VPN 连接 分 别 进行 
一 一 配置 ， 设 备 配置 和 维护 成 本 较 高 。 本 章 介绍 的 DSVPN 方案 就 可 以 很 好 地 解决 这 一 
问题 。 


7.1.1 DSVPN 简介 
为 了 充分 利用 公共 网 络 资源 ， 降 低 网 络 构建 成 本 ， 越 来 越 多 的 企业 希望 通过 公共 网 
络 将 总 部 机 构 (Hub) 与 地 理 位 置 不 同 的 多 个 分 支 机 构 〈(Spoke) 相连 ， 并 在 分 文 与 总 部 


机 构 间 、 分 支 间 自由 地 建立 VPN， 实 现 分 文子 网 之 间 ， 分 文子 网 与 企业 总 部 子 网 之 间 的 
互联 。 图 7-1 是 传统 的 Hub-Spoke 网 络 结构 。 
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图 7-1 采用 DSVPN 之 前 的 典型 Hub-Spoke 组 网 


从 图 7-1 可 以 看 出 , 在 这 种 传统 Hub-Spoke 网 络 中 , Hub 与 Spoke 间 建 立 Hub-Spoke 
降 道 ，Spoke 之 间 通 信 的 数据 都 必须 经 由 Hub 中 转 ， 存 在 如 下 几 方 面 问题 。 

e。 因为 所 有 Spoke 之 间 的 通信 都 必须 经 由 Hub 中 转 ， 所 以 对 Hub 的 Internt 接 入 带 
宽 和 设备 性 能 要 求 比 较 高 ， 成 本 较 高 。 同 时 ， 数 据 转 发 延 时 也 会 比较 大 ， 因 为 Hub 在 收 
到 发 往 其 他 Spoke 的 数据 时 需要 先 对 来 自 源 Spoke 的 数据 报 文 进行 解密 、 再 加 密 后 才 会 
将 其 发 送 到 目的 Spoke。 

。 当 新 接 入 一 个 Spoke 之 后 ，Hub 需要 针对 其 进行 新 的 VPN 配置 和 维护 。 在 大 量 
分 文 接 入 时 ，Hub 的 配置 会 变 得 非常 复杂 ， 而 且 每 次 网 络 调整 时 ， 都 需要 调整 Hub 的 配置 。 

。 如 琳 Spoke 之 间 不 想 通 过 Hub 中 转 而 希望 直接 进行 通信 , 但 此 时 如 果 Spoke 出 口 
采用 的 是 动态 IP 地 址 , 则 Spoke 间 无 法 事先 获知 对 端的 IP 地 址 , 因此 无 法 实现 在 Spoke 
间 建 立 直 接 的 通信 。 

本 章 将 介绍 的 DSVPN 是 一 种 智能 化 的 VPN 技术 ， 它 可 在 Hub-Spoke 网 络 模型 中 
(Hub 束 相 当 于 中 心 、 企 业 总 部 ，Spoke 就 相当 于 企业 分 文 )，Spoke 与 Hub， 以 及 Spoke 
之 间 实 现 VPN 的 动态 建立 。 

这 里 所 说 的 “动态 ”包含 两 层 含义 : 一 是 DSVPN 中 的 Spoke 可 以 采用 动态 卫 分 配 
的 公 网 接 入 方式 ， 解 决 了 无 法 事先 获得 通信 对 端 分 文公 网 卫 地 址 的 问题 ; 男 一 方面 , 在 
新 增 Spoke 时 , 几乎 不 用 在 Hub 及 其 他 已 有 Spoke 上 做 任何 配置 更 改 , 只 需 在 新 增 Spoke 
上 做 简单 配置 即 可 智能 化 地 实现 与 Hub， 及 其 他 Spoke 的 VPN 通信 。 这 一 切 都 是 因为 
在 DSVPN 应 用 了 一 种 可 以 实现 路 由 下 一 跳动 态 注 册 和 解析 的 NHRP (Next Hop 
Resolution _Protocol， 下 一 跳 解 析 协 议 ) 技术 ， 大 大 减轻 了 配置 工作 量 ， 也 拓展 了 VPN 
应 用 的 领域 。 … 4 

NHRP 可 收集 、 维 护 各 站 点 动态 变化 的 公 网 IP 地 址 等 信息 ,解决 了 无 法 事先 获得 通 
信 对 应 公 网 IP 地 址 的 问题 ， 可 以 实现 在 各 Spoke 使 用 动态 IP 地 址 接 入 公 网 (如 各 种 拨 
号 方式 ) 的 情况 下 ， 在 Spoke 间 动 态 地 建立 Spoke-Spoke 隧道 ， 实 现 Spoke 间 的 直接 通 
信 。 如 图 7-2 所 示 的 就 是 在 采用 DSVPN 后 的 企业 Hub-Spoke 组 网 方式 后 ， 各 Spoke 网 
间 可 以 直接 通过 公 网 建立 VPN, 所 连 子 网 可 直接 通信 , 而 不 用 通过 企业 总 部 转发 。 当 然 ， 
这 里 仍然 需要 Hub， 因 为 在 Spoke 间 建 立 VPN 的 过 程 中 ， 仍 需要 担当 NHRP 服务 器 角 
色 的 Hub 的 文 持 ， 具 体 原 理 将 在 本 章 后 面 介绍 。 
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于 一 一 一 > Hub-Spoke 隧 道 
所 一 - 一 > Spoke-Spoke 隧 道 


分 支 间 通信 





Hub 


Spoke /NV 


图 7-2 采用 DSVPN 之 后 的 企业 Hub-Spoke 组 网 


另外 ，DSVPN 还 可 以 通过 mGRE (multipoint Generic Routing Encapsulation， 多 扣 
GRE ) 技 术 , 支持 在 一 个 mGRE 隧道 接口 上 建立 多 条 GRE 隧道 , 实现 一 对 多 的 GRE VPN 
组 网 ， 大 大 简化 了 子 网 流量 的 管理 以 及 设备 上 GRE 和 IPSec 的 配置 。 

总 体 来 说 ，DSVPN 可 以 为 我 们 市 来 以 下 好 处 。 

(1) 降低 VPN 网 络 构建 成 本 

DSVPN 可 以 实现 分 文 和 总 部 机 构 ， 以 及 分 文 之 间 的 动态 全 网 VPN 连接 ， 分 文 不 需 
要 单独 购买 静态 的 公 网 IP 地 址 ， 节 省 企业 开 文 。 

(2) 简化 总 部 和 分 文 配置 

总 部 和 分 支 上 配置 的 隧道 接口 从 多 个 点 对 点 GRE 隧道 接口 可 变 为 一 个 点 对 多 点 的 
mGRE 隧道 接口 。 当 为 DSVPN 网 络 需要 添加 新 的 分 支 时 ， 企 业 网 络 管理 员 不 需要 更 改 
总 部 或 任何 当前 分 文 上 的 配置 ， 只 需 在 新 的 分 文 进行 配置 ， 之 后 新 的 分 文 会 目 动 问 总 部 
进行 动态 注册 。 

(3) 降低 分 文 间 数 据 传 输 时 延 和 总 部 的 负责 

由 于 分 文 间 可 以 直接 动态 构建 GRE 隧道 ， 业 务 数 据 可 以 直接 转发 ， 不 用 再 经 过 总 
部 机 构 ， 在 降低 了 分 文 间 数 据 转 发 的 延迟 ， 提 升 了 转发 性 能 和 效率 的 同时 也 减轻 了 总 部 
设备 的 公 网 接 入 市 时 和 设备 性 能 负担 。 


7.1.2 ”DSVPN 中 的 重要 概念 


在 正式 介绍 DSVPN 工作 原理 之 前 ， 先 来 了 解 DSVPN 中 涉及 到 的 几 个 非常 重要 的 
概念 。 这 些 概 念 也 就 是 在 如 图 7-3 所 示 的 DSVPN 基本 网 络 结构 中 所 涉及 的 各 种 软 、 硬 
件 组 成 部 分 。 

1. DSVPN 节点 

DSVPN 节点 为 部 车 DSVPN 的 设备 (如 华为 的 AR G3 系列 路 由 器 )， 包 括 Spoke 和 
Hub 两 种 形态 。Spoke 是 指 企业 分 支 的 网 关 设 备 ， 一 般 使 用 动态 的 公 网 卫 地址， Hub 通 
常 是 企业 总 部 ， 是 DSVPN 网 络 的 中 心 设备 ， 接 收 Spoke 回 其 注册 信息 ， 既 可 使 用 静态 
的 公 网 地 址 ， 也 可 使 用 域名 。 

2. mGRE 和 mGRE 隧道 接口 

mGRE 是 在 GRE 基础 上 发 展 而 来 的 一 种 点 对 多 点 (P2MP) GRE 技术 ， mGRE 隧道 
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接口 是 为 实现 DSVPN 而 提供 的 一 种 点 对 多 点 类 型 的 逻辑 接口 ， 采 取 mGRE ( 即 GRE 
P2MP ) 封装 模式 ， 在 各 DSVPN 节点 上 创建 并 配置 。mGRE 隧道 接口 在 转发 数据 前 也 要 
对 原始 卫 数据 报 文 进行 GRE 协议 封闭， 最 终生 成 GRE 报 文 。 







总 部 子 网 
192.168.0.0/24 









Hub 


公 网 地 址 : 202.1.1.10/24 
Tunnel 地 址 : 172.16.1.1/24 A 


mGRE 隧 道 接口 





GY. ee 
Spoke 1 AAA Spoke 2 
公 网 地 址 : 202.1.2.10/24 公 网 地 址 : 202.1.3.10/24 
Tunnel 地 址 : 172.16.1.2/24 Tunnel 地 址 : 172.16.1.3/24 


一 ws le 


f 分 支 1 子 网 | 分 支 2 子 网 
192.168.1.0/24 、 192.168.2.0/24 






图 7-3 DSVPN 网 络 的 基本 结构 示意 图 


mGRE 隧道 接口 包含 以 下 元 素 〈 其 实 与 在 本 书 第 6 和 草 介 绍 的 GRE Tunnel 接口 所 包 
括 元 素 是 一 样 的 )。 

。 隧道 源 地 址 : GRE 报 文 在 隧道 中 传输 时 新 增 卫 报头 中 的 “ 源 卫 地 址 ”字段 值 ， 
是 原始 IP 报 文 经 GRE 协议 封装 后 的 报 文 源 IP 地 址 , 也 是 本 端 真正 发 送 报 文 的 公 网 接口 
的 IP 地址 ， 即 图 7-3 中 的 公 网 地 址 (NBMA 地 址 )。 

。 隧道 目的 地 址 : GRE 报 文 在 隧道 中 传输 时 新 增 卫 报头 中 的 “目的 卫 地 址 ”字段 
值 ， 是 原始 IP 报 文 经 GRE 封装 后 的 报 文 目 的 IP 地 址 ， 也 是 对 端 真 正 接收 报 文 的 公 网 接 
口 的 卫 地 址 ， 也 即 图 7-3 中 的 公 网 地 址 (NBMA 地 址 )。 





与 GRE 隧道 接口 需要 手工 指定 目的 IP 地 址 不 同 ，mGRE 隧道 接口 的 目的 IP 地 
址 是 通过 NHRP 协议 进行 地 址 解析 后 获得 ， 所 以 在 配置 时 不 能 手工 指定 。 一 个 mGRE 
隧道 接口 上 可 以 建立 多 条 GRE 隧道 ， 即 可 以 有 多 个 GRE 对 端 ， 是 点 对 多 点 类 型 。 但 
mGRE Tunnel 接口 不 支持 GRE 隧道 的 Keepalive 检测 功能 。 


。 隧道 接口 IP 地 址 : mGRE 隧道 接口 IP 地 址 和 其 他 物理 接口 上 的 IP 地 址 一 样 ， 用 
于 在 各 端 构建 一 条 虚拟 的 隧道 ,通常 是 由 管理 员 分 配 的 私 网 卫 地 址 , 即 图 7-3 中 的 Tunnel 
地 址 (Protocol 地 址 )。 通 音 ， 为 了 配置 简便 ，DSVPN 网 络 中 设备 上 的 各 mGRE 隧道 接 
口 IP 地 址 在 同一 IP 网 段 ， 这 样 整个 GRE 隧道 就 相当 于 一 条 存在 多 个 位 于 同一 卫 网 段 
接点 的 三 层 链 路 。 






其 实 前 面 所 说 的 Protocol 地 址 不 是 只 能 是 mGRE 隧道 接口 IP 地 址 ， 通 常 只 要 是 
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位 于 私 网 的 卫 地 址 都 可 能 成 为 Protocol 地 址 。 这 将 在 本 章 后 面 介绍 的 shortcut 场景 下 ， 
各 Spoke 生成 的 NHRP peer 表 项 中 会 有 所 体现 。 


3. NHRP 

NHRP 在 DSVPN 中 用 于 解决 NBMA 网 络 上 的 源 Spoke 如 何 获 取 目 的 Spoke 的 动态 
公 网 IP 地 址 (此 时 目的 Spoke 采用 动态 卫 分 配方 式 )， 实 现 直 接 在 Spoke 间 建 并 VPN 
的 问题 。 这 是 DSVPN 的 关键 技术 。 

当 动 态 接 入 Internet 的 Spoke 接 入 NBMA ( 非 广播 多 路 访问 ) 网 络 时 ， 会 使 用 当前 
出 接口 分 配 的 公 网 IP 地 址 向 Hub 发 送 NHRP 注册 请 求 ，Hub 在 收 到 Spoke 发 来 的 注册 
请 求 后， 根据 这 些 请 求 信息 创建 或 刷新 对 应 的 NHRP peer 表 项 ， 即 各 Spoke 的 mGRE 
Tunnel 接口 IP 地 址 与 其 公 网 接口 的 公 网 IP 地 址 之 间 的 映射 关系 。 同 时 ，Hub 也 接受 源 
Spoke 回 其 他 Spoke 发 起 的 地 址 解析 请 求 , 可 直接 应 答 或 转发 解析 请 求 到 目的 Spoke， 以 
便 在 源 Spoke 上 创建 和 刷新 目的 Spoke 的 NHRP peer 表 项 。 

4. Hub-Spoke 隧道 

Hub-Spoke 隧道 建立 于 Spoke 与 Hub 之 间 , 如 图 7-3 中 的 Hub-Spoke 隧道 ,其 他 Spoke 
与 Hub 同样 可 以 建立 Hub-Spoke 隧道 。 在 DSVPN 网 络 中 , Hub 上 无 需 配 置 Spoke 信息 ， 
但 Spoke 需要 静态 指定 Hub 的 mGRE Tunnel 接口 IP 地 址 与 公 网 IP 地 址 或 域名 的 映射 ， 
即 静 态 配 置 Hub 的 NHRP peer 表 项 。 当 Spoke 接 入 NBMA 网 络 时 ,会 通过 其 mGRE Tunnel 
接口 向 Hub 发 送 NHRP 注册 请 求 ， 将 其 mGRE Tunnel 接口 IP 地 址 和 公 网 IP 地 址 告知 
Hub，Hub 收 到 该 注册 请 求 后 ， 在 本 地 创建 或 刷新 此 Spoke 的 NHRP peer 表 项 。 

5. Spoke-Spoke 隧道 

Spoke-Spoke 隧道 建立 于 各 Spoke 之 间 ， 如 图 7-3 中 的 Spoke-Spoke 隧道 。 当 Spoke 
间 需 要 进行 数据 传输 时 ， 在 路 由 表 中 查询 到 目的 Spoke 的 下 一 跳 〈 不 同 场景 下 的 下 一 跳 
IP 地 址 对 应 的 接口 不 一 样 ， 具 体 将 在 7.2 节 介 绍 ) 后 ， 如 果 在 本 地 NHRP peer 表 查 询 不 
到 下 一 跳 对 应 的 公 网 他 地 址 , 则 需要 向 Hub 发 送 NHRP 地 址 解析 请 求 , 以 获取 目的 Spoke 
的 公 网 卫 地 址 。 随 后 两 个 Spoke 通过 mGRE Tunnel 接口 以 动态 卫 地 址 方式 创建 VPN 
隧道 ， 这 样 就 可 以 直接 传输 数据 了 。 但 Spoke 间 动 态 建 立 的 隧道 在 一 定 周期 内 没有 流量 
转发 ， 将 自动 拆除 ， 因 为 是 动态 建立 的 。 


7.1.3 ”DSVPN 的 上 典型 应 用 场景 


在 DSVPN 的 应 用 部 署 中 ， 华 为 AR G3 系列 路 由 器 可 针对 不 同 的 网 络 环境 和 应 用 需 
求 ， 采 用 以 下 两 种 不 同 的 部 闭 场 景 。 

(1) 非 shortcut 场景 : Spoke 间 相 互 学 习 路 由 

非 shortcut 场景 是 指 在 中 小 型 网 络 中 ， 由 于 Spoke 较 少 ， 采 用 Spoke 间 相 互 学 习 路 
由 方案 ， 使 源 Spoke 子 网 到 目的 Spoke 子 网 的 路 由 下 一 跳 为 目的 Spoke 的 mGRE Tunnel 
接口 地 址 。 在 这 种 部 署 方案 中 ， 由 于 Spoke 间 需 要 相互 学 习 路 由 ， 在 各 Spoke 上 配置 和 
保存 的 路 由 信息 比较 多 ， 对 各 Spoke 设备 的 性 能 要 求 会 比较 高 ， 所 主要 应 用 于 中 小 型 
DSVPN 网 络 。 

如 图 7-4 所 示 ，Spokel 和 Spoke2 通过 公 网 与 Hub 相连 。 在 非 shortcut 场景 的 
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DSVPN 中 , 通过 配置 Hub 子 网 与 两 Spoke 子 网 ，Spokel 子 网 与 Spoke2 子 网 则 路 由 (可 
以 采用 静态 或 动态 路 由 配置 方式 )， 使 得 两 Spoke 间 通 过 Hub 可 以 彼此 学 习 到 达 对 端子 
网 的 路 由 ， 下 一 跳 直 接 为 对 端 Spoke 的 mGRE Tunnel 接口 IP 地 址 ，VPN 建立 成 功 后 ， 
即 可 实现 Spokel 和 Spoke2 子 网 间 的 直接 (无需 经 过 Hub)〉 相互 通信 。 

【经 验 提 示 】〗 再 次 强调 一 下 ， 虽然 说 在 非 shortcut 场景 下 最 终 可 实现 Spoke 间 的 直接 
VPN 通信 ， 但 一 定 不 要 认为 可 以 没有 Hub， 因 为 Spoke 间 相 互 获 取 对 端 公 网 卫 地 址 还 
必须 依靠 Hub 上 运行 的 NHRP 服务 器 功能 。Hub 担当 的 是 NHRP 服务 器 角色 ， 只 有 它 
才能 接收 来 自 担 当 NHRP 客户 端 角 色 的 Spoke 发 来 的 NHRP 解析 请 求 并 进行 应 答 的 。 否 
则 两 Spoke 只 能 在 都 有 静态 的 公 网 卫 地 址 的 情况 下 才能 直接 建立 VPN 通信 。 






一 一 一 一 -> Hub-Spoke 隧 道 
- 一 > Spoke-Spoke 隧 道 
动态 路 由 学 习 








| 


图 7-4” 非 shortcut 场景 的 DSVPN 部 署 示 意图 


(2) shortcut 场景 : Spoke 只 保存 到 总 部 的 汇聚 路 由 

在 Spoke 数目 较 多 的 大 型 网 络 中 ， 如 果 仍 采用 非 shortcut 场景 ， 则 各 Spoke 上 需要 
保存 整个 网 络 的 路 由 数据 ,同时 还 需要 大 量 CPU 和 内 存 资源 来 计算 动态 路 由 协议 , 会 对 
Spoke 的 路 由 表 容 量 和 性 能 有 较 高 的 要 求 。 针 对 这 种 缺点 ， 可 以 部 署 Spoke 只 保存 到 总 
部 的 汇聚 路 由 方案 ， 使 源 Spoke 子 网 到 目的 Spoke 子 网 的 路 由 下 一 跳 为 Hub 的 mGRE 
Tunnel 接口 IP 地 址 ， 这 就 是 shortcut 场景 。 

在 shortcut 场景 DSVPN 中 ，Hub 仍然 需要 配置 到 达 各 Spoke 子 网 的 路 由 ， 但 它 问 
Spoke 发 布 的 路 由 不 是 各 Spoke 子 网 的 明细 路 由 , 而 是 包括 了 各 Spoke 子 网 的 汇聚 路 由 。 
这 样 一 来 ， 在 Spoke 上 仅 保 存 一 条 以 Hub 的 mGRE Tunnel 接口 IP 地 址 为 下 一 跳 的 缺 省 
路 由 或 汇聚 路 由 。 即 如 果 采 用 静态 路 由 配置 , 则 各 Spoke 可 以 只 配置 一 条 以 Hub 的 mGRE 
Tunnel 接口 IP 地 址 为 下 一 跳 的 缺 省 路 由 ， 或 者 包括 Hub 子 网 和 所 有 Spoke 子 网 的 汇聚 
路 由 ; 如 果 采 用 动态 路 由 配置 , 则 Spoke 也 只 会 学 习 来 自 Hub 发 布 的 包括 Hub 子 网 和 所 
有 Spoke 子 网 的 汇聚 路 由 。 这 样 做 的 目的 就 是 为 了 缩减 Spoke 的 路 由 表 项 , 降低 对 Spoke 
的 路 由 表 容 量 和 性 能 要 求 。 但 最 终 各 Spoke 借助 于 NHRP 协议 , 仍 可 以 学 习 到 对 端 Spoke 
子 网 ， 以 实现 Spoke 间 直 接 建 立 VPN 的 目的 。 在 shortcut 场景 中 ， 通 常 采 用 动态 路 由 配 
置 方式 ， 因 为 缺 省 静态 路 由 的 路 由 效率 比较 低 。 

如 图 7-5 所 示 ， 所 有 Spoke 只 有 到 Hub 的 路 由 ， 最 初 所 有 访问 目的 Spoke 的 流量 全 
部 指 问 Hub。 当 Spoke 子 网 间 需 要 进行 通信 时 ， 交 互 的 第 一 个 报 文通 过 总 部 Hub， 之 后 
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Spoke 间 建 立 隧道 ， 所 有 流量 不 再 通过 总 部 Hub， 分 支 间 直接 进行 通信 。 






所 一 一 一 五 Hub-Spoke 隧 道 
中 一- 一 > Spoke-Spoke 隧 道 
Hub 动态 路 由 学 习 





Ce 
入 
i bn 


~ 


， Internet , > Spoke N 





图 7-5 ”shortcut 场景 的 DSVPN 部 署 示 意图 


从 以 上 介绍 可 以 看 出 ， 非 shortcut 场景 和 shortcut 场景 的 本 质 区 别 就 是 从 源 Spoke 
到 目的 Spoke 的 路 由 信息 的 下 一 跳 不 同 : 非 shortcut 场景 下 ，Spoke 间 可 相互 学 习 对 方 的 
明细 路 由 , 使 得 到 目的 Spoke 的 路 由 信息 的 下 一 跳 是 目的 Spoke 的 mGRE Tunnel 接口 的 
IP 地 址 ;而 在 shortcut 场景 下 ，Spoke 上 只 保存 到 Hub 的 缺 省 或 汇聚 路 由 ， 使 得 到 目的 
Spoke 的 路 由 信息 的 下 一 跳 是 Hub 的 mGRE Tunnel 接口 的 卫 地 址 。 


7.2 DSVPN 工作 原理 


本 节 集 中 介绍 与 DSVPN 相关 的 技术 原理 ， 包 括 GRE 报 文 封装 原理 、NHRP 协议 工 
作 原 理 、 非 shortcut/shortcut 两 种 场景 的 工作 原理 、DSVPN NAT 和 罕 越 原理 、 双 Hub 备份 
原理 和 DSVPN IPSec 保护 原理 。 


7.2.1 DSVPN 中 的 GRE 封装 和 解 封装 原理 


GRE 有 两 种 通道 类 型 :一 种 为 点 对 点 GRE (p-pGRE) ， 通 常 直接 写成 GRE; 另 一 
种 就 是 这 里 介绍 的 点 对 多 点 GRE (mGRE) 。 对 应 也 就 有 两 种 隧道 接口 :点 对 点 GRE 
隧道 接口 和 点 对 多 点 mGRE 隧道 接口 。 

点 对 点 GRE 隧道 接口 只 能 建立 一 条 隧道 ， 而 点 对 多 点 mGRE 接口 可 以 建立 多 条 隧 
道 。 在 DMVPN 中 ，Hub 路 由 器 上 需要 把 隧道 接口 配置 成 mGRE 模式 ， 因 为 Hub 路 由 
器 通常 是 需要 与 多 个 Spoke 路 由 器 建立 永久 GRE 隧道 的 。 单 Hub 路 由 器 的 Hub- Spoke 
DMVPN 网 络 中 ，Spoke 路 由 器 可 以 使 其 隧道 接口 采用 默认 的 点 对 点 GRFE 模式 ， 而 在 
多 Hub 路 由 器 的 Hub-Spoke DMVPN 网 络 , 以 及 Spoke-Spoke DMVPN 网 络 中 ,所 有 Spoke 
路 由 器 也 都 要 把 隧道 接口 配置 为 点 对 多 点 mGRE 模式 ， 因 为 一 个 Spoke 都 可 能 需要 与 
Hub 路 由 器 其 他 Spoke 路 由 器 建立 GRE 隧道 的 。 

在 配置 方面 mGRE 接口 与 点 对 点 GRE 接口 相 比 ， 仅 不 能 配置 隧道 目的 IP 地 址 
(p-pGRE 可 以 配置 目的 卫 地 址 的 ， 参 见 本 书 第 6 章 中 的 GRE Tunnel 接口 ) ， 因 为 它 的 
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目的 他 地址 不 只 一 个 (可 能 涉及 到 Hub 及 多 个 Spoke) ， 其 他 的 参数 都 可 以 配置 ， 如 IP 
地 址 、 隧 道 源 接口 或 者 源 IP 地 址 。 但 因为 mGRE 接口 不 能 指定 目的 地 址 ， 所 以 它 不 能 
单独 使 用 ， 需 要 NHRP 服务 器 来 告诉 mGRE 接口 要 把 数据 发 送 到 哪里 。 

在 GRE 报 文 封装 方面 ，DSVPN 与 本 书 第 6 章 介 绍 的 GRE 报 文 封装 原理 是 一 样 的 。 
在 接收 到 用 户 发 来 的 IP 报 文 后 ， 需 要 生成 一 个 新 的 卫 报头 ， 把 原来 整个 IP 报 文 当成 数 
据 部 分 。 新 IP 报头 中 的 源 IP 地 址 为 本 端 设备 的 公 网 接口 IP 地 址 ， 目 的 卫 地 址 为 降 道 
对 端 设 备 的 公 网 接口 IP 地 址 ， 当 然 这 个 对 闯 公 网 IP 地 址 是 通过 NHRP 获取 到 的 ， 不 是 
直接 配置 的 。 如 图 7-6 所 示 的 是 一 个 以 Spoke 间 进 行 VPN 通信 时 的 GRE 报 文 封装 和 解 
封装 示例 (图 中 未 画 出 Hub 部 分 )。 


Tunnel address: Tunnel addres 


> 
5 





192.168.0.0/24 192.168.1.0/24 









Spoke B 


IP 

s=192.168.0.1 Payload 

dst=192.168.1.1 

经 GRE 封装 后 的 IP 数据 包 
IP IP 
s=192.168.0.1, Payload $=192.168.0.1, Payload 
dst=192.168.1.1 dst=192.168.1.1 
源 IP 数据 包 解 封 后 的 源 IP 数据 包 


7-6 DSVPN 中 的 GRE 报 文 封装 和 解 封装 示例 


在 本 示例 中 ， 源 IP 报 文 进入 SpokeA 时 , 源 卫 地 址 和 目的 瑟 地 址 分 别 是 本 端 源 主 
机 的 私 网 IP 地 址 192.168.0.1 和 对 端 Spoke B 目的 主机 的 私 网 卫 地 址 192.168.1.1。 在 通 
过 GRE 隧道 发 送 时 ， 把 源 IP 报 文 全 当成 数据 部 分 ， 新 增 一 个 IP 报头 ， 其 源 IP 地 址 和 
目的 卫 地 址 分 别 为 本 端 公 网 接口 IP 地 址 172.16.0.1 和 对 端 Spoke B 的 公 网 接口 卫 地 址 
172.16.1.1 (这 个 目的 卫 地 址 是 通过 NHRP 解析 功能 从 Hub 获取 到 的 , 不 是 命令 配置 的 ， 
具体 将 在 7.2.2 市 介绍 )。 当 GRE 报 文 到 达 目 的 端 Spoke B 时 ， 又 会 去 掉 原 来 所 加 的 最 外 
层 IP 报头 ， 还原 出 源 始 IP 报 文 ， 再 根据 在 Spoke B 上 配置 的 路 由 把 源 IP 报 文 发 到 目的 
主机 上 。 


7.2.2 NHRP 协议 工作 原理 


大 多 数 WAN 网 络 是 一 个 点 到 点 链 路 集合 ， 为 了 有 效 、 灵 活 地 保证 这 些 点 到 点 链 路 
的 连通 性 , 它们 通常 组 合成 一 个 , 或 者 多 层次 Hub-Spoke 网 络 。 点 对 多 点 接口 (如 mGRE 
隧道 接口 ) 可 以 用 来 减少 在 这 样 网 络 中 的 Hub 路 由 器 配置 ， 形 成 一 个 NBMA( 非 广播 多 
路 访问 ) 网 络 。 

因为 通过 一 个 点 对 多 点 隧道 接口 可 以 到 达 多 个 隧道 端点 (EndPoint)， 也 就 相当 于 在 
一 个 物理 隧道 中 有 多 个 逻辑 隧道 , 这 就 需要 有 一 个 从 逻辑 隧道 端点 IP 地 址 到 物理 隧道 端 
点 卫 地 址 的 映射 ， 以 通过 NBMA 网 络 从 mGRE Tunnel 接口 向 多 个 逻辑 隧道 转发 出 数据 
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包 。 这 种 映射 可 以 是 静态 配置 的 ， 但 是 更 好 的 方式 是 通过 动态 发 现 或 学 习 方 式 得 到 ， 如 
DSVPN 中 就 是 使 用 NHRP 协议 来 实现 这 个 目的 。 

NHRP 是 负责 NBMA 网 络 的 下 一 跳 卫 地址 〈 是 公 网 卫 地 址 ) 解析 的 ， 采 用 C/S 结 
构 : NHC (NHRP 客户 端 ) 和 NHS (NHRP 服务 器 ) 。 在 NHRP 中 包括 两 种 IP 地 址 : 
(1) NBMA 地 址 : 承载 报 文 的 外 层 协议 地 址 ， 可 理解 为 公 网 IP 地 址 ， 是 对 应 路 由 器 的 
公 网 物理 接口 IP 地 址 ; (2) 协议 地 址 : 被 承载 的 协议 报 文 地 址 ， 在 DSVPN 中 通常 理 
解 为 隧道 接口 IP 地址， 但 也 可 以 是 私 网 中 的 其 他 IP 地址 ， 这 一 点 将 在 后 面 介绍 shortcut 
场景 的 应 用 配置 示例 中 有 体现 。 

在 整个 DMVPN 网 络 隧道 建立 中 , NHRP 在 里 面 的 作用 分 为 两 大 部 分 : 一 是 各 Spoke 
路 由 器 向 Hub 路 由 器 注册 自己 的 隧道 接口 IP 地 址 与 对 应 的 公 网 物理 接口 IP 地 址 映射 ， 
此 时 就 构成 了 Hub-Spoke 网 络 模 式 ， 建 立 Spok-to-Hub 的 永久 VPN 隧道 ; 二 是 各 Spoke 
路 由 器 向 Hub 路 由 器 请 求解 析 其 他 Spoke 路 由 器 的 隧道 接口 卫 地 址 与 对 应 的 公 网 物理 
接口 IP 地 址 映射 ,以便 建立 动态 、 临 时 的 Spoke-Spoke VPN 隧道 。 所 以 NHRP 在 DMVPN 
中 的 两 大 功能 就 是 注册 (Registration ) 和 解析 (Resolution)。 

1. NHRP 注册 原理 

NHRP 允许 NHC (如 各 Spoke) 动态 向 NHS (如 Hub) 注册 它们 的 NHRP peer 表 项 。 
这 个 注册 功能 允许 NHC 无 需 在 NHS 修改 配置 情况 下 通过 动态 注册 加 入 到 NBMA 网 络 
中 ， 特 别 是 在 NHC 使 用 的 是 公 网 物理 接口 动态 IP 地 址 ， 或 者 NHC 位 于 NAT 路 由 器 之 
后 。 在 这 种 情况 下 ， 通 过 NHRP 协议 的 注册 功能 ， 可 使 NHC 在 NHS 上 动态 更 新 隧道 接 
口 IP 地 址 到 公 网 物理 接口 IP 地 址 的 映射 。 

如 图 7-7 所 示 ，Spoke A 路 由 器 要 问 Hub 路 由 器 注册 其 隧道 接口 IP 地 址 和 对 应 公 网 
物理 接口 IP 地 址 映射 。 








一 一 一 永久 IPSec 隧道 人 10.0.0.11—172.16.1.1 


pe 10.0.0.12 一 172.16.2.1 
NHRP 映射 Physical: 172.17.0.1 芽 ev 


192.168.0.0/24— Conn. 
路 由 表 Je W000 | 192.168.1.0/24 一 10.0.0.11 


| 192.168.2.0/24 一 10.0.0.12 















Physical: 172.16.1. 
Tunnel0: 10.0.0.11 


192.168.2.1/24 


10.0.0.1 一 172.17.0.1 


192.168.1.1/24 坦 


10.0.0.1 一 172.17.0.1 


192.168.0.0/24 一 10.0.0.1 
192.168.1.0/24— Conn. 
192.168.2.0/24— 10.0.0.1 





192.108.0../24 一 10.0.0.1 
192.168.1../24 一 10.0.0.1 
| 192.168.2../24 一 Conn. 























7-7 ”NHRP 协议 注册 功能 演示 示例 


(1) 最 初 Hub 路 由 器 和 所 有 Spoke 路 由 右 均 没有 建 并 NHRP peer 表 项 ， 如 图 7-8 所 
示 。 当 设备 启动 完成 , 并 且 配 置 好 NHRP 协议 (包括 mGRE Tunnel 接口 、Hub 静态 NHRP 
peer 表 项 等 ) 后 各 Spoke 就 开始 要 同 Hub 发 送 NHRP 注册 请 求 报 文 ， 进 行 NHRP peer 
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表 项 注册 了 。 


192.168.0.1/24 






， cal: (dynamic)172.16.2.1 
0: 10.0.0.12 





Physical:(dynamic)1 
Tunnel0: 10.0.0.11 


2.108.2.1/24 


7-8 ”初始 状态 下 各 路 由 器 没有 建立 NHRP 表 的 示例 


(2) 假设 Spoke A 路 由 器 发 送 一 个 NHRP 注册 请 求 报 文 〈 也 要 进行 GRE 封装 ) 到 
Hub 路 由 器 。 这 个 经 过 GRE 封装 的 NHRP 注册 请 求 报 文中 数据 部 分 的 IP 报头 中 的 “ 源 
IP 地 址 ”是 本 端 mGRE Tunnel 接口 IP 地 址 ,“ 目 的 卫 地 址 ”是 Hub 的 mGRE Tunnel 接 
口 IP 地 址 , 新 增 人 P 报头 中 的 “ 源 耳 地址 ”是 本 端 公 网 接口 IP 地 址 ,“ 目 的 人 地址 ”是 Hub 
公 网 接口 IP 地 址 。 同 时 ， 在 NHRP 协议 头 部 分 包含 了 Spoke A 路 由 器 的 隧道 接口 IP 地 
址 和 公 网 物理 接口 IP 地 址 ， 以 及 这 些 映射 条 目的 生存 时 间 和 标记 信息 ， 如 图 7-9 所 示 。 


192.168.0.1/24 








Physical: 172.17.0.1 
T 10: 10.0.01 
unne wy 





NHRP-Registration Tunnel=10.0.0.11 
s=10.0.0.11 NBMA=172.16.1.1 
dst=10.0.0.1 Hold=3600，no-unique 


Physical: (dynamic)172.16.1.1 
Tunnel0: 10.0.0.11 


192.168.1.1/24 四 Spoke A 





图 7-9 ”Spoke A 路 由 器 向 Hub 路 由 器 发 出 NHRP 注册 请 求 报 文 


在 本 示例 中 ，NHRP 请 求 报 文中 NHRP 协议 头 中 包含 了 本 端 隧道 接口 卫 地 址 
(Cs=10.0.0.11)， 对 端 隧道 接口 IP 地 址 (d=10.0.0.1)， 在 新 增 的 卫 报头 部 分 包含 本 端 公 网 
物理 接口 IP 地址 (s=172.16.1.1)、 对 端 公 网 物理 接口 IP 地 址 (d=172.17.0.1)。 

(3) Hub 路 由 器 在 收 到 来 目 Spoke A 路 由 器 的 注册 请 求 后 ， 在 它 的 NHRP 表 中 创建 
一 个 基于 Spoke A 路 由 器 隧道 接口 卫 地 址 和 公 网 物理 接口 IP 地 址 的 动态 映射 条 目 ， 即 
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10.0.0.11 访 172.16.1.1。 这 个 条 目的 生存 时 间 (Hold=3600) 就 是 注册 请 求 中 所 声明 的 时 间 
(为 3600s)。 而 在 Spoke A 上 基于 Hub 的 NHRP peer 表 项 是 静态 配置 的 。 

(4) 随后 ，Hub 路 由 器 返回 一 条 注册 应 答 给 对 应 的 Spoke A 路 由 器 ， 显 示 注 册 成 功 
(Code=Successful) 信息 ， 如 图 7-10 所 示 。 这 样 就 完成 了 Spoke A 路 由 器 向 Hub 注册 其 
隧道 接口 卫 地 址 与 其 对 应 的 公 网 物理 接口 卫 地 址 映射 的 全 过 程 。 

Spoke B 路 由 右 的 注册 过 程 与 Spoke A 的 注册 过 程 一 样 。 


192.168.0.1/24 


Physical: 172.17.0.1 (ae ， 
Tunnel0: 10.0.0.1 “于 









NHRP-Registration Reply 
s=10.0.0.11 Code= 
dst=10.0.0.1 Successful 





Physical: (dynamic)172.16.1.1 
Tunnel0: 10.0.0.11 





图 7-10 Hub 路 由 器 问 Spoke A 路 由 器 返回 注册 成 功 应 答 报 文 


2. NHRP 解析 原理 

通过 前 面 的 注册 过 程 ，Spoke 和 Hub 之 间 便 建立 了 永久 隧道 ， 此 时 各 Spoke 之 间 要 
通信 的 话 仍 必须 通过 Hub 中 转 。 这 对 于 Spoke 之 间 通 信 比 较 频 繁 的 情形 来 说 ， 显 然 不 是 
一 个 很 好 的 选择 , 原因 之 一 是 对 Hub 路 由 器 的 性 能 和 带宽 要 求 较 高 , 男 一 个 因为 要 绕道 Hub 
路 由 费 ， 所 以 Spoke 路 由 器 间 的 通信 会 存在 较 大 延 时 。 为 了 解决 这 些 问题 ,于 是 在 DMVPN 
中 通过 采用 NHRP 的 解析 功能 ， 可 实现 Spoke 路 由 器 间 直 接 建立 的 Spoke-Spoke 隧道 。 

要 建立 Spoke 间 的 直接 隧道 ， 除 了 需要 配置 好 相应 的 路 由 外 ， 还 需要 使 通信 双方 
Spoke 能 相互 获得 对 方 的 动态 公 网 IP 地 址 ， 这 需要 借助 NHRP 协议 琛 完成 。 在 该 过 程 中 ， 
Hub 路 由 需 充 当 NHC 角色 ， 啊 应 Spoke 路 由 器 发 送 的 NHRP 解析 请 求 ， 并 辣 源 Spoke 
”路 由 器 提供 目的 Spoke 路 由 器 的 公 网 IP 地 址 作为 解析 请 求 的 应 答 。 于 是 ， 两 个 Spoke 
之 间 可 以 通过 mGRE Tunnel 端口 动态 建立 GRE 隧道 ， 进 行 数据 传输 。 该 隧道 在 预定 义 
的 周期 之 后 将 目 动 拆除 ， 因 为 Spoke-Spoke 隧道 设计 时 就 希望 是 动态 的 ， 仅 在 有 数据 通 
信和 要 使 用 隧道 时 才 创 建 ， 而 在 没有 数据 通信 要 使 用 该 隧道 时 又 会 删除 。 

Hub 路 由 器 在 收 到 Spoke 路 由 器 的 NHRP 注册 请 求 报 文 后 已 建立 好 了 该 Spoke 路 由 
器 的 公 网 IP 地 址 和 隧道 接口 IP 地 址 之 间 的 映射 关系 ， 同 时 还 会 通过 各 Spoke 间 ， 以 及 
到 达 Hub 路 由 器 所 配置 的 路 由 ， 学 习 并 建立 好 了 到 达 对 方 对 应 的 路 由 表 项 ， 而 路 由 表 项 
中 的 下 一 跳 IP 地 址 束 是 目的 子 网 路 由 右 的 隧道 接口 卫 地 址 。 

如 图 7-11 中 Spoke A 上 的 路 由 表 就 包括 了 a 到达 Hub 路 由 器 子 网 和 Spoke B 子 网 的 两 
条 路 由 表 项 ， 其 中 可 以 看 出 ， 它 们 的 下 一 跳 都 是 对 端的 隧道 接口 IP 地址 。 当 然 ， 这 里 的 


第 7 章 DSVPN 配置 与 管理 369 


路 由 配置 方法 ， 以 及 具体 的 NHRP 解析 原理 还 要 区 分 非 shortcut 场景 和 shortcut 场景 。 







192.168.1.0/24 192.168.0.0/24 





7 


- 192.168.2.0/24 
Spoke B 


图 7-11 Spoke A 路 由 器 学 习 到 对 端的 路 由 表 项 


7.2.3 非 shortcut 场景 DSVPN 工作 原理 


通过 前 面 的 学 习 我 们 已 经 知道 ， 在 非 shortcut 场景 中 ，Spoke 间 可 以 建立 VPN 隧道 
进行 直接 通信 ， 源 Spoke 子 网 到 目的 Spoke 子 网 的 路 由 下 一 跳 为 目的 Spoke 的 mGRE 
Tunnel 接口 IP 地 址 。 但 此 种 情况 下 ,为 了 实现 Spoke 间 相 互 学 习 到 对 妆 的 路 由 ， 首 先 需 
要 正确 配置 好 路 由 ， 这 些 路 由 可 以 采用 以 下 两 种 方案 来 部 署 。 

(1) 配置 静态 路 由 

在 Hub 和 各 Spoke 上 配置 静态 路 由 ， 路 由 的 目的 地 址 为 对 器 〈 可 能 为 Hub 或 其 他 
Spoke) 子 网 网 段 ， 路 由 的 下 一 跳 设 置 为 对 端的 mGRE Tunnel 接口 卫 地 址 。 

如 图 7-12 所 示 ， 如 条 采用 非 shortcut 场景 的 静态 路 由 配置 方式 ， 则 在 Hub 上 要 配置 
如 下 两 条 静态 路 由 ,用 于 分 别 到 达 Spokel 和 Spoke2 子 网 ,下 一 跳 分 别 为 Spokel 和 Spoke2 


的 mGRE Tunnel 接口 的 IP 地 址 : 


ip route-static 192.168.1.0 0.0.0.255 172.16.1.2 
ip route-static 192.168.2.0 0.0.0.255 172.16.1.3 
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图 7-12” 非 shortcut 场景 中 路 由 部 署 示 例 
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在 Spokel 上 也 要 配置 分 别 到 达 Hub 子 网 和 Spoke2 子 网 的 静态 路 由 ， 下 一 跳 分 别 为 
Hub 和 Spoke2 的 mGRE Tunnel 接口 的 卫 地 址 : 


ip route-static 192.168.0.0 0.0.0.255 172.16.1.1 
ip route-static 192.168.2.0 0.0.0.255 172.16.1.3 


在 Spoke2 上 也 要 配置 分 别 到 达 Hub 子 网 和 Spokel 子 网 的 静态 路 由 ,下 一 跳 分 别 为 
Hub 和 Spokel 的 mGRE Tunnel 接口 的 IP 地 址 : 


ip route-static 192.168.0.0 0.0.0.255 172.16.1.1 
ip route-static 192.168.1.0 0.0.0.255 172.16.1.2 


(2) 配置 动态 路 由 

如 果 在 非 shortcut 场景 下 采用 动态 路 由 配置 ， 可 以 通过 RIP、OSPF 和 BGP 路 由 协 
议 进行 ， 这 样 最 终 也 可 实现 Spoke 间 、Spoke 与 Hub 的 子 网 路 由 学 习 。 它 们 在 DSVPN 
应 用 时 的 配置 方法 请 参见 本 章 7.3.3 节 的 介绍 ， 以 及 将 在 7.4 节 中 介绍 的 配置 示例 。 

在 非 shortcut 场景 中 ，DSVPN 要 实现 Spoke 间 的 直接 VPN 通信 ， 首 先 要 在 Spoke 
间 相 互 学 习 路 由 ， 每 个 Spoke 保存 有 到 所 有 其 他 Spoke 子 网 的 路 由 信息 ， 然 后 使 用 NHRP 
协议 来 获取 目的 Spoke 的 动态 公 网 IP 地 址 ， 最 终 实 现 Spoke 间 直 接 建立 VPN 通信 。 当 
然 ， 在 此 之 前 各 Spoke 需要 成 功 在 Hub 上 成 功 注册 NHRP peer 表 项 。 如 图 7-13 所 示 是 
非 shortcut 场景 下 DSVPN 实现 的 基本 流程 ， 各 步 具 体 说 明 如 下 。 


Spoke 1 Hub Spoke 2 一 一 > 分 支 间 交 互 报 文 




















个 © 二 -Hub 构建 的 报 文 
NHRP Registration Request | NHRP Registration Request "Tat Hub 转发 的 报 文 
(NHRP 注册 请 求 ) (NHRP 注册 请 求 ) 
2 NHRP Registration Reply NHRP Registration Reply 2 
(NHRP 注册 请 求 应 管 ) (NHRP 注册 请 求 应 答 ) 


分 支 间 相互 学 习 路 由 分 支 间 相互 学 习 路 由 








$5 NHRP Peer Miss 






NHRP Resolution Request 
(NHRP 地 址 解析 请 求 ) 








NHRP Resolution Request 
(NHRP 地 址 解析 请 求 ) 
NHRP Resolution Reply 
(NHRP 地 址 解析 请 求 应 管 ) 


报 文 直接 交互 








图 7-13” 非 shortcut 场景 中 DSVPN 实现 流程 


(1) 管理 员 在 所 有 Spoke 本 地 静态 配置 Hub 的 GRE Tunnel 接口 卫 地 址 与 其 公 网 卫 
地 址 或 域名 的 映射 ( 即 NHRP peer 表 项 )， 然 后 网 络 中 的 所 有 Spoke 通过 其 GRE Tunnel 
接口 向 Hub 发 起 NHRP 注册 请 求 报 文 。 

(2〉 Hub 根据 所 接收 的 注册 请 求 报 文 ， 生 成 或 更 新 各 Spoke 的 NHRP peer 表 项 ， 分 
别 记 录 各 Spoke 的 mGRE Tunnel 接口 耻 地址 与 公 网 全 地 址 的 映射 关系 ,并 同 对 应 Spoke 
发 送 注册 请 求 应答 报 文 ， 表 示 已 收 到 对 应 Spoke 发 来 的 注册 请 求 报 文 ， 并 告知 源 奖 已 注 
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册 成 功 。 而 各 Spoke 上 已 静态 配置 了 Hub 的 NHRP peer 表 项 。 

(3) Spoke 间 通 过 配置 的 静态 路 由 或 动态 路 由 相互 学 习 各 分 文子 网 路 由 ， 路 由 的 下 
一 跳 直接 为 对 端 Spoke 的 mGRE Tunnel 接口 IP 地 址 〈 采 用 动态 路 由 配置 方式 时 ，Spoke 
则 的 子 网 路 由 学 习 仍 需 通 过 Hub)。 这 是 非 shortcut 场景 下 Spoke 间 直 接 建 立 VPN 通信 
所 需 的 路 由 。 

【经 验 提示 】〗 要 注意 , 在 VPN 通信 中 仅 有 路 由 是 不 够 的 ,因为 在 VPN 通信 中 都 会 涉 
及 到 数据 的 重 封装 。 如 在 DSVPN 通信 中 ， 原 始 数据 报 文 不 是 直接 发 送 的 ， 而 是 要 经 过 
GRE 封装 。 在 GRE 封装 中 又 会 新 增 一 个 报头， 这 个 IP 了 报头 中 的 目的 IP 地 址 就 是 对 
端的 公 网 IP 地址 ， 也 是 隧道 目的 IP 地 址 。 所 以 还 需要 获知 目的 Spoke 的 公 网 卫 地址 ， 
这 样 才能 与 对 端 建立 GRE 隧道 ,把 两 端子 网 通信 的 数据 在 隧道 中 传输 。 但 在 DSVPN 中 ， 
Spoke 端 一 般 是 采取 动态 Internet 接 入 方式 ， 所 以 其 公 网 IP 地 址 是 不 国定 的 ， 需 要 动态 
获取 。 这 里 就 要 依靠 NHRP 协议 了 。 

(4) 当 源 Spoke 要 问 目 的 Spoke 转发 来 自 本 端子 网 发 往 目 的 Spoke 子 网 的 数据 报 文 
(通常 是 采用 从 一 端 Ping 另 一 端子 网 的 方式 ) 时 ， 通 过 比 对 报 文 中 的 目的 卫 地 址 (为 目 
的 Spoke 的 私 网 IP 地 址 ) 在 本 地 路 由 表 中 查找 对 应 的 路 由 表 项 。 因 为 原来 已 配置 好 或 
学 习 到 达 其 他 Spoke 子 网 的 路 由 ， 所 以 肯定 可 以 找到 对 应 的 路 由 表 项 。 然 后 再 根据 对 应 
的 路 由 表 项 中 的 下 一 跳 王 地址 (为 目的 Spoke 的 mGRE Tunnel 接口 IP 地 址 ) 查看 本 
地 和 是否 有 对 应 的 NHRP peer 表 项 , 以 获取 所 映射 的 公 网 卫 地 址 , 作为 数据 报 文 进行 GRE 
封装 时 的 新 增 IP 报头 的 “目的 IP 地 址 ”(IP 报头 中 的 “ 源 耳 地 址 ”是 本 端 当 前 的 公 网 
IP 地 址 )， 因为 实际 进行 报 文 发 送 和 接收 的 是 DSVPN 设备 的 公 网 侧 接 口 (通常 是 直接 连 
接 Internet 的 物理 接口 )。 

【经 验 提 示 】〗 这 一 步 是 必须 的 ， 是 用 来 触发 源 Spoke 向 目的 Spoke 发 送 NHRP 解析 
请 求 报 文 ， 也 是 一 种 NHRP 解析 请 求 流量 触发 方式 。 没 有 这 一 步 的 话 ，Spoke 间 无 法 相 
互 学 习 对 方 的 NHRP peer 表 项 ， 也 就 无 法 建立 彼此 的 NHRP peer 表 项 ， 无 法 建立 Spoke 
间 的 VPN 通信 ， 尽 管 一 切 配 置 都 是 正确 的 。 在 shortcut 场景 中 也 一 样 。 这 将 在 后 面 介绍 
的 配置 示例 中 有 体现 。 

但 是 如 果 采 用 的 是 BGP 这 种 动态 路 由 协议 来 部 署 各 端子 网 路 由 时 ， 因 为 在 建立 
EBGP 对 等 体 连 接 时 各 端 就 需要 相互 进行 报 文 交互 ， 所 以 此 时 就 无 需 另 外 从 源 Spoke 向 
目的 Spoke 发 送 数据 报 文 来 触发 NHRP 解析 请 求 了 。 

(5) 如 果 此 时 本 端 还 没有 目的 Spoke 的 NHRP peer 表 项 ， 则 会 触发 源 Spoke 向 Hub 
发 送 NHRP 解析 请 求 报 文 ， 以 请 求 获 取 目 的 Spoke 的 公 网 卫 地 址 。 

(6) 源 Spoke 新 构建 一 个 NHRP 解析 请 求 报 文 ， 向 Hub 请 求 目 的 Spoke 的 mGRE 
Tunnel 接口 IP 地 址 对 应 的 公 网 IP 地 址 。 此 时 的 NHRP 解析 请 求 报 文 经 过 GRE 重 封装 后 
的 最 外 层 IP 报头 的 “目的 卫 地 址 ”是 Hub 的 公 网 IP 地 址 ， 但 在 NHRP 报头 部 分 显示 
的 是 解析 请 求 报 文 类 型 ， 而 且 标 识 出 要 解析 的 公 网 卫 地 址 所 对 应 的 mGRE Tunnel 接口 
IP 地 址 。 

(7) NHRP 解析 请 求 报 文 到 达 Hub 之 后 ， 要 对 GRE 报 文 进行 解 封 装 ， 获 取 里 面 的 
NHRP 解析 请 求 报 文中 的 报头 信息 , 再 根据 NHRP 解析 请 求 报 文 的 NHRP 协议 头 中 要 解 
析 的 mGRE Tunnel 接口 IP 地 址 查看 本 地 NHRP peer 表 ， 看 是 否 有 对 应 的 NHRP peer 表 
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项 。 如 果 Hub 上 已 有 目的 Spoke 的 mGRE Tunnel 接口 IP 地 址 对 应 的 NHRP peer 表 项 ， 
则 直接 疝 源 Spoke 返回 对 应 的 目的 Spoke 的 公 网 卫 地 址 , 无 需 进行 下 一 步 ， 直接 到 达 第 
(9) 步 ; 否则 Hub 会 通过 查找 本 地 路 由 表 ， 以 目的 Spoke 的 mGRE Tunnel 接口 IP 地 址 
为 下 一 跳 将 NHRP 解析 请 求 报 文 转发 到 目的 Spoke， 继 续 进 行 下 一 步 。 

(8) 目的 Spoke 在 收 到 由 Hub 转发 的 NHRP 解析 请 求 报 文 后 ， 会 直接 根据 NHRP 
解析 请 求 报 文中 的 源 卫 地 址 向 源 Spoke 发 送 NHRP 解析 请 求 应 答 报 文 ， 应 答 报 文 IP 报 
头 的 “ 源 卫 地 址 ”就 是 目的 Spoke 的 公 网 IP 地 址 。 同 时 根据 所 收 到 的 NHRP 解析 请 求 
报 文中 的 地 址 信息 生成 源 Spoke 的 NHRP peer 表 项 。 

(9) 通过 这 样 一 个 流程 ， 源 Spoke 已 获取 到 目的 Spoke 的 公 网 IP 地 址 ， 且 已 配置 有 
到 达 目 的 Spoke 子 网 的 路 由 了 。 这 时 再 对 要 发 送 对 目的 Spoke 子 网 的 数据 报 文 进行 GRE 
封装 , 在 新 增 的 卫 报头 中 “目的 瑟 地 址 ” 字段 填 上 已 获知 的 目的 Spoke 的 公 网 IP 地址， 
至 此 至 少 单 同 通信 的 条 件 己 具备 了 。 但 如 果 在 前 面 源 Spoke 获取 目的 Spoke 公 网 IP 地 址 
是 直接 由 Hub 进行 应 答 的 ， 且 如 果 目 的 Spoke 也 不 知道 源 Spoke 的 公 网 IP 地 址 ， 则 要 
重复 (4) 一 〈8) 步 。 两 端 都 成 功 获取 到 对 端的 公 网 IP 地 址 后 ，Spoke 间 就 可 以 建立 
VPN， 进 行 直接 通信 ， 不 用 再 经 过 总 部 Hub 了 。 


7.2.4 ”shortcut 场景 DSVPN 工作 原理 


在 shortcut 场景 中 , 网 络 初始 状态 时 源 Spoke 到 目的 Spoke 子 网 的 路 由 下 一 跳 为 Hub 
的 mGRE Tunnel 接口 IP 地 址 ， 并 不 是 目的 Spoke 的 mGRE Tunnel 接口 IP 地 址 , 这 后 与 
非 shortcut 场景 是 不 一 样 的 。 因 为 在 shortcut 场景 中 ， 在 Spoke 上 只 配置 以 Hub 的 mGRE 
Tunnel 接口 卫 地 址 为 下 一 跳 的 缺 省 路 由 或 汇聚 路 由 ,不 配置 Spoke 间 子 网 的 路 由 。 最 终 
实现 的 是 ,在 Spoke 间 没 有 最 终 建立 VPN 之 前 所 有 访问 目的 Spoke 的 流量 全 部 指 回 总 部 
Hub， 通 过 Hub 中 转 ， 但 在 Spoke 间 最 终 建立 VPN 之 后 仍 可 以 直接 进行 通信 ,无需 Hub 
中 转 。 适 用 于 大 型 DSVPN 网 络 。 

在 shortcut 场景 中 要 实现 Spoke 间 动 态 建立 VPN 隧道 , 在 源 Spoke 和 目的 Spoke 间 
肯定 要 有 报 文 交互 的 路 由 路 徐 。 但 在 shortcut 场景 中 ， 这 个 路 由 路 径 不 是 直接 的 ， 而 是 
要 经 过 Hub。 也 有 两 种 路 由 部 闭 方 案 。 

1. 分 支 间 配置 静态 路 由 

如 果 采 用 静态 路 由 方案 ， 则 需要 在 源 Spoke 配置 到 达 目 的 Spoke 子 网 的 静态 路 由 ， 
但 该 静态 路 由 中 的 下 一 跳 为 Hub 的 mGRE Tunnel 接口 IP 地 址 ， 而 不 是 目的 Spoke 的 
mGRE Tunnel 接口 IP 地 址 。 但 大 型 DSVPN 网 络 中 ， 往 往 不 仅 需 要 两 个 Spoke 间 建 立 
VPN 通信 ， 为 了 减少 Spoke 上 保存 的 路 由 表 项 数 ， 通 常 是 采用 汇聚 路 由 或 缺 洗 路 由 配 站 
方法 ， 

如 图 7-14 所 示 ，Hub 与 多 个 Spoke 建立 DSVPN 通信 ， 假 设 各 Spoke 间 也 需要 建立 
DSVPN 通信 。 如 果 采 用 静态 路 由 配置 时 , Hub 到 达 各 Spoke 子 网 仍 采 用 明细 路 由 配置 方 
式 ， 下 一 跳 为 各 Spoke 的 mGRE Tunnel 接口 卫 地 址 ， 而 各 Spoke 子 网 的 路 由 通常 是 采 
用 汇聚 静态 路 由 【〈 先 要 对 各 子 网 进行 聚合 计算 ) 配置 方式 ， 下 一 跳 统一 为 Hub 的 mGRE 
Tunnel 接口 IP 地 址 。 
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图 7-14 ”shortcut 场景 中 路 由 部 划 示 例 
本 示例 中 ，Hub 和 各 Spoke 子 网 都 在 192.168.0.0/16 这 个 聚合 网 络 中 ， 所 以 可 在 各 
Spoke 上 仅 配置 如 下 这 一 条 静态 路 由 。 如 有 末 各 Spoke 规划 不 好 ， 不 能 聚合 成 一 个 大 的 网 
段 ， 则 还 可 以 采用 缺 省 路 由 配置 方式 〈 下 一 跳 也 是 Hub 的 mGRE Tunnel 接口 IP 地 址 )， 
把 到 达 所 有 其 他 Spoke 子 网 的 路 由 都 指 癌 Hub 的 mGRE Tunnel 接口 。 
ip route-static 192.168.0.0 0.0.255.255 172.16.1.1 
2. 分 支 动态 学 习 到 总 部 的 路 由 
在 shortcut 场景 中 ， 通 常 是 采用 动态 路 由 配置 方式 ，DSVPN 也 是 文 持 RIP、OSPF 
和 BGP 路 由 协议 。 此 时 ，Hub 需要 配置 路 由 聚合 ，Spoke 通过 配置 动态 路 由 协议 ， 从 
Hub 上 仅 学 习 并 且 保 存 这 条 由 Hub 发 布 的 汇聚 路 由 (需要 使 用 动态 路 由 协议 来 配置 包括 
各 Spoke 子 网 的 汇聚 路 由 )， 这 样 所 有 访问 目的 Spoke 的 流量 全 部 指 癌 Hub。 在 使 用 不 
同 的 路 由 协议 时 ， 需 要 在 总 部 Hub 和 分 文 Spoke 分 别 进行 相应 的 配置 。 
在 shortcut 场景 中 ，DSVPN 同样 使 用 NHRP 下 一 跳 解析 协议 来 动态 获取 对 端的 公 网 
地 址 ， 具 体 实 现 流程 如 图 7-15 所 示 ， 下 面具 体 说 明 。 
第 (1) ~ (2) 步 与 7.2.3 节 介 绍 的 非 shortcut 场景 的 第 (1) 一 〈2) 步 完 全 一 样 ， 
完成 各 Spoke 在 Hub 上 的 NHRP peer 表 项 注册 。 
(3) 分 文 Spoke 间 通 过 配置 的 静态 或 动态 路 由 学 习 到 达 总 部 Hub 的 路 由 , 分 文 Spoke 
只 保存 到 总 部 的 汇聚 路 由 。 这 样 一 来 , 在 Spoke 间 建 立 VPN 之 前 ， 所 有 Spoke 间 的 数据 
转 都 必须 通过 Hub 转发 。 
(4) 当 源 分 文 Spoke 转发 来 目 本 端子 网 发 往 目 的 分 文 Spoke 子 网 的 数据 报 文 时 ， 首 
先 会 根据 报 文中 的 目的 卫 地 址 〈 目 的 Spoke 的 私 网 IP 地 址 ) 在 本 地 路 由 表 中 查找 匹配 
的 路 由 表 项 ,经 否 询 发 现 只 有 一 条 汇聚 路 由 匹配 ,并 且 下 一 跳 为 总 部 Hub 的 mGRE Tunnel 
接口 IP 地 址 。 然 后 再 根本 这 个 路 由 表 项 中 的 下 一 跳 耻 地 址 在 本 地 查找 NHRP peer 表 项 ， 
查询 下 一 跳 对 应 的 公 网 卫 地 址 〈 即 Hub 的 mGRE Tunnel 接口 IP 地 址 )， 将 该 全 地址 作 
为 数据 报 文 进行 GRE 封装 后 新 增 卫 报头 的 “目的 卫 地 址 ” 发 往 下 一 跳 ， 即 Hub， 
为 Spoke 上 只 有 一 条 下 一 跳 指 问 Hub 的 汇聚 路 由 。 
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图 7-15 ”shortcut 场景 中 DSVPN 实现 流程 


(5) 数据 报 文 到 达 总 部 Hub 之 后 ， 总 部 对 GRE 报 文 进行 解 封装 ， 发 现 原 始 IP 数据 
报 文中 的 “目的 他 地 址 ”并 不 是 自己 的 ,于 是 在 本 地 路 由 表 中 查看 有 没有 对 应 的 路 由 表 
项 , 因为 Hub 上 已 配置 好 到 达 各 Spoke 子 网 的 路 由 , 所 以 肯定 可 以 找到 对 应 的 路 由 表 项 。 
然后 根据 该 路 由 表 中 的 下 一 跳 IP 地 址 (目的 Spoke 的 mGRE Tunnel 接口 IP 地 址 ) 在 
本 地 查找 对 应 的 NHRP peer 表 项 ， 找 到 对 应 的 目的 Spoke 的 公 网 IP 地址。 

在 对 原始 IP 数据 报 文 进行 GRE 封装 时 ， 新 增 IP 报 尖 中 的 “目的 了 P 地 址 ”为 前 面 
查询 到 的 目的 Spoke 的 公 网 他 地 址 ( 源 卫 地 址 为 Hub 的 公 网 接口 IP 地 址 )， 将 数据 报 
文 转发 到 目的 Spoke( 仅 第 一 次 发 往 目 的 分 支 Spoke 的 数据 需 经 部 分 Hub 转发 )。 同 时 
Hub 会 触发 NHRP redirect 重 定向 报 文 给 源 Spoke， 告 诉 源 Spoke 上 次 到 达 目 的 Spoke 所 
选择 的 下 一 跳 IP 地 址 不 是 最 优 的 , 同时 把 最 优 的 下 一 跳 IP 地 址 ( 即 目的 Sopke 的 mGRE 
Tunnel 接口 IP 地 址 ) 告诉 源 Spoke。 

(6) 源 Spoke 接收 NHRP redirect 报 文 后 ， 获 知 了 去 往 目 的 Spoke 的 最 优 下 一 跳 IP 
地 址 ， 同 时 生成 Hub 的 NHRP peer 表 项 ， 但 仍然 不 知道 目的 Spoke 的 公 网 PP 地址。 于 
是 源 Spoke 再 向 Hub 发 送 一 个 NHRP 解析 请 求 报 文 ， 希望 得 到 目的 Spoke 的 公 网 IP 
地 址 。 

(7)Hub 收 到 源 Spoke 发 来 的 NHRP 解析 请 求 报 文 后 , 先 在 本 地 查找 有 无 对 应 Spoke 
的 NHRP peer 表 项 ， 如 有 直接 对 源 Spoke 发 送 NHRP 解析 应 答 报 文 ， 告 诉 目 的 Spoke 的 
公 网 卫 地 址 ,无 需 进 行 下 一 步 , 源 Spoke 已 可 生成 目的 Spoke 的 NHRP peer 表 项 了 ; 如 
果 没 有 ， 会 以 所 收 到 的 NHRP 解析 请 求 报 文中 的 要 解析 的 目的 Spoke 的 mGRE Tunnel 
接口 的 IP 地 址 作为 下 一 跳 ， 把 NHRP 解析 请 求 报 文 转发 到 目的 Spoke。 

(8) 目的 Spoke 接收 由 总 部 转发 的 NHRP 解析 请 求 后 ， 问 源 Spoke 发 送 NHRP 解析 
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请 求 应 答 报 文 。 同 时 会 根据 所 收 到 的 NHRP 解析 请 求 报 文中 的 地 址 信息 生成 源 Spoke 的 
NHRP peer 表 项 。 

(9) 源 Spoke 收 到 目的 Spoke 发 来 的 NHRP 解析 请 求 应 答 报 文 后 便 获 知 了 目的 Spoke 
的 公 网 PP 地 址 , 建立 目的 Spoke 的 NHRP peer 表 项 。 这 样 源 Spoke 和 目的 Spoke 间 都 已 
相互 获悉 了 对 方 的 公 网 IP 地 址 ， 就 可 以 利用 这 个 IP 地 址 建立 VPN 隧道 了 。 但 如 果 在 前 
面 源 Spoke 获取 目的 Spoke 公 网 IP 地 址 是 直接 由 Hub 进行 应 答 的 ， 且 如 果 目 的 Spoke 
也 不 知道 源 Spoke 的 公 网 IP 地址 ， 则 要 重复 (4) 一 〈8) 步 。VPN 隧道 建立 成 功 后 ， 
两 Spoke 间 后 续 的 数据 通信 中 ， 数 据 报 文 的 转发 的 下 一 跳 就 直接 改 为 对 方 的 mGRE 
Tunnel 接口 IP 地 址 了 ， 不 用 需要 经 过 总 部 Hub 来 转发 了 。 

【经 验 提 示 】 从 以 上 可 以 看 出 ， 源 Spoke 向 目的 Spoke 发 出 的 第 一 个 数据 报 文 的 主要 
目的 是 触发 Hub 向 源 Spoke 发 送 重 定 向 报 文 ， 使 源 Spoke 获悉 目的 Spoke 的 下 一 跳 IP 
地 址 ， 即 目的 Spoke 的 mGRE Tunnel 接口 IP 地 址 。 但 仅 有 这 个 下 一 跳 IP 地 址 还 无 法 对 
要 发 送 的 报 文 进 行 GRE 封装 ， 还 需要 目的 Spoke 的 公 网 卫 地 址 ， 于 是 又 触发 源 Spoke 
向 Hub 发 送 NHRP 解析 请 求 报 文 ， 以 获得 目的 Spoke 的 公 网 卫 地 址 。 当 双方 都 建立 了 
对 方 的 NHRP peer 后 就 繁体 可 直接 建立 VPN 隧道 ， 进 行 直接 通信 。 


7.2.5 ”DSVPN NAT 穿越 原理 


如 果 Spoke 的 私有 网 络 通 过 NAT (Network Address Translation， 网 络 地 址 转换 ) 设 
备 再 与 Hub 连接 ，Hub 与 Spoke、Spoke 之 间 建 立 VPN 连接 时 需要 穿越 NAT。DSVPN 
文 持 NAT 穿越 ， 可 以 实现 Hub 与 Spoke， 以 及 Spoke 间 直 接 通 信 ， 如 图 7-16 所 示 。 
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图 7-16 DSVPN 通过 NAT 穿越 构建 VPN 示意 


DSVPN 文 持 NAT 穿越 的 基本 原因 就 是 因为 由 Spoke 或 Hub 发 送 的 报 文中 都 需要 经 
过 GRE 重 封 装 , 这 样 一 来 会 把 整个 原始 的 IP 报 文 当 作 数 据 部 分 , 然后 新 增 一 个 卫 报头 ， 
在 经 过 NAT 转换 时 ， 转 换 的 只 是 新 增 IP 报头 中 的 地 址 信息 ， 被 当成 数据 部 分 的 原始 IP 
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报头 中 的 地 址 信息 会 不 变 ， 这 样 就 可 以 使 收 到 报 文 的 一 端 通过 进行 GRE 解 封装 ， 从 里 、 
外 两 层 卫 报头 中 获知 对 端 在 经 过 NAT 转换 前 、 后 的 公 网 IP 地 址 ,具体 也 是 要 通过 NHRP 
注册 和 NHRP 解析 两 个 过 程 来 实现 。 

(1) Spoke 加 Hub 进行 NHRP 注册 时 ， 由 Spoke 发 送 的 NHRP 注册 请 求 报 文 需要 经 
过 GRE 封装 , 所 以 NHRP 注册 请 求 报 文 在 进入 NAT 前 , 被 作为 数据 部 分 的 原始 了 报头 
的 “ 源 全 地 址 ”为 公 网 侧 接口 的 IP 地 址 (通常 是 为 私 网 IP 地 址 )， 经 过 NAT 设备 后 转 
换 后 , 只 会 对 新 增 IP 报头 中 的 “ 源 瑟 地 址 ”进行 转换 , 而 在 数据 部 分 的 了 P 报头 中 的 “ 源 
IP 地 址 ”不 会 改变 ， 这 样 到 达 Hub 的 NHRP 注册 请 求 报 文 中 仍 会 携带 Spoke 公 网 侧 接 
口 的 IP 地 址 ， 当 然 也 可 从 外 层 IP 报头 获知 Spoke 经 NAT 转换 后 的 公 网 IP 地 址 ， 基 于 
外 层 IP 报头 中 的 公 网 卫 地 址 和 mGRE Tunnel 接口 耻 地 址 建立 源 Spoke 的 NHRP peer 
表 项 。 

(2) 当 NHRP 请 求 报 判断 到 达 Hub 后 ， 需 要 经 过 GRE 解 封 效 ， 还 原 原 始 的 NHRP 
报 文 ， 此 时 就 会 发 现 原来 经 过 GRE 封装 的 NHRP 报 文 的 新 IP 报头 中 的 “ 源 卫 地 址 ”与 
解 封 装 后 的 NHRP 报 文 原始 卫 报头 的 “ 源 卫 地 址 ”不 一 致 ， 由 此 Hub NHRP 模块 可 感 
知 Spoke 路 径 有 NAT 设备 存在 。 

随后 Hub 要 给 Spoke 返回 NHRP 注册 请 求 应 答 报 文 ， 而 在 这 个 应 答 报 文中 IP 报头 
的 “目的 I 了 PP 地址 ”是 Spoke 经 NAT 转换 后 的 公 网 IP 地 址 ， 然 后 再 次 经 过 GRE 封装 ， 
新 IP 报头 中 的 “目的 I 了 P 地址 ” 仍 是 Spoke 经 NAT 转换 后 的 公 网 IP 地址。 到 了 NAT 设 
备 再 经 过 反 向 转换 ， 新 IP 报头 中 的 “目的 卫 地址 ”转换 为 Spoke 经 NAT 转换 前 的 私 网 
IP 地 址 。 当 NHRP 注册 应 答 报 文 到 了 源 Spoke 后 ， 就 会 使 源 Spoke 通过 GRE 解 封装 后 
从 IP 报头 时 获知 它 转换 后 的 公 网 IP 地 址 。 

(3) 与 Spoke 向 Hub 发 送 NHRP 注册 请 求 报 文 一 样 ， 当 源 Spoke 回 目 的 Spoke 发 起 
NHRP 地 址 解析 请 求 时 ， 也 需要 经 过 GRE 封装 ， 在 经 过 NAT 转换 后 ， 源 Spoke 在 NAT 
转换 前 、 后 的 了 PP 地 址 也 会 分 别 在 原始 IP 报头 和 新 卫 报头 的 “ 源 卫 地 址 ”字段 中 体现 ， 
在 目的 Spoke 接收 并 进行 GRE 解 封装 NHRP 解析 请 求 报 文 后 ,也 会 获知 源 Spoke 在 NAT 
转换 前 、 后 的 IP 地址， 基于 外 层 耻 报头 中 的 公 网 卫 地 址 和 mGRE Tunnel 接口 IP 地 址 
建立 源 Spoke 的 NHRP peer 表 项 。 

(4) 与 前 面 的 源 Spoke 向 目的 Spoke 发 送 NHRP 解析 请 求 报 文 一 样 ， 目 的 Spoke 回 
源 Spoke 返回 NHRP 地 址 解析 请 求 应 答 时 ， 如 果 目 的 Spoke 设备 前 面 也 有 NAT 设备 ， 
则 也 会 在 原始 了 报头 和 新 王 报 头 的 “ 源 卫 地 址 ”字段 中 体现 目的 Spoke NAT 转换 前 、 
后 的 卫 地 址 ， 并 且 最 终 使 源 Spoke 获知 ， 建 立 目 的 Spoke 的 NHRP peer 表 项 。 

(5) 源 Spoke 和 目的 Spoke 互相 知道 对 端 NAT 前 、 后 的 卫 地 址 后 ， 就 可 根据 NAT 
转换 后 的 公 网 IP 地 址 建立 隧道 ， 实 现 Spoke 间 穿 越 NAT 进行 通信 。 






“在 配置 DSVPN NAT 穿越 时 要 注意 以 下 几 个 方面 。 

e DSVPN 不 支持 两 个 Spoke 位 于 同一 NAT 设备 之 后 ， 且 NAT 转换 后 卫 地址 相同 
的 NAT 穿越 。 因 为 Spoke 最 终 要 通过 转换 后 的 公 网 IP 地 址 来 建立 VPN， 两 端 转 换 后 的 
公 网 IP 地 址 相同 自然 就 不 行 了 。 
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e。 DSVPN 不 支持 两 个 Spoke 位 于 不 同 NAT 设备 之 后 ， 且 启用 PAT (Port Address 
Translation) 功能 的 NAT 穿越 。 因 为 PAT 是 用 来 实现 多 个 用 户 共 享 同一 个 公 网 IP 地 址 
(各 用 户 只 是 使 用 不 同 的 传输 层 端口 号 ) 访问 外 部 网 络 需求 的 , 而 因为 Spoke 仅 通过 转换 
后 的 公 网 卫 地 址 来 建立 VPN， 采 用 PAT 后 就 没 办 法 确定 两 端 唯一 的 隧道 端点 了 。 

e。 NAT 设备 必须 配置 为 NAT Server 或 Static NAT，DSVPN 不 支持 配置 为 NAT 
inbound、NAT outbound 的 NAT 穿越 。 这 里 同样 是 因为 Spoke 最 终 要 通过 转换 后 的 公 网 
IP 地 址 来 建立 VPN， 如 果 转 换 后 的 公 网 IP 地 址 不 能 固定 的 话 ， 就 没 办 法 建立 成 功 了 。 


7.2.6 ”DSVPN 双 Hub 备份 原理 


部 署 DSVPN 时 ， 如 果 仅 有 一 个 Hub， 则 所 有 的 Spoke 都 与 单一 Hub 相连 。 当 
出 现 故 障 时 ，Spoke 间 也 将 无 法 建立 隧道 进行 直接 通信 。 通 过 部 署 双 Hub 见 余 备份 ， 
以 提升 DSVPN 网 络 的 可 靠 性 ， 如 图 7-17 所 示 。 
-一 一 -Hub-Spoke 隧道 


ee Spoke-Spoke 隧道 
[1 mGRE 隧道 接口 







图 7-17 DSVPN 双 Hub 备份 示意 图 


使 用 DSVPN 双 Hub 元 余 备 份 的 具体 工作 诛 理 如 下 。 

(1) 所 有 Spoke 事先 要 在 本 地 配置 好 两 个 Hub 的 NHRPpeer 表 ， 分 别 记录 Hubl 和 
Hub2 的 mGRE Tunnel 接口 地 址 与 公 网 卫 地 址 的 映射 关系 。 然 后 同时 向 主 用 Hubl 和 备 
用 Hub2 发 送 NHRP 注册 请 求 〈 报 文中 包含 目 己 的 mGRE Tunnel 接口 卫 地 址 和 公 网 IP 
地 址 )。 

(2) 总 部 Hubl 和 Hub2 根据 接收 的 NHRP 注册 请 求 报 文 , 各 自 记 录 Spoke 的 mGRE 
Tunnel 接口 卫 地 址 与 其 公 网 IP 地 址 的 对 应 关系 ， 生 成 对 应 的 Spoke NHRP peer 表 ， 也 
各 目 辣 Spoke 发送 NHRP 注 册 请 求 应 答 报 文 ,这 样 就 完成 了 Spoke 在 个 Hub 上 注册 NHRP 
peer 的 任务 。 

(3) Spoke 通过 路 由 配置 ， 使 得 到 达 Hubl 的 路 由 优先 级 高 于 到 达 Hub2 的 路 由 优先 
级 。 这 样 当 Spoke 间 需 要 进行 通信 时 ， 由 此 触发 的 NHRP 地 址 解析 请 求 报 文 会 优先 发 送 
给 Hubl1， 岂 Hubl 完成 报 文 的 转发 。 

(4) Spoke 间 根 据 流量 触发 建立 隧道 的 原理 请 参见 7.2.3 节 介 绍 的 非 shortcut 场景 
DSVPN 工作 原理 ， 或 7.2.4 市 介绍 的 shortcut 场景 DSVPN 工作 原理 。 
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(5) 只 有 当 Hubl 出 现 故 障 时 ，Spoke 才 会 将 NHRP 解析 请 求 报 文 发送 给 Hub2， 由 
Hub2 完成 报 文 的 转发 。 当 Hubl 故障 恢复 后 ，Spoke 再 根据 定义 好 的 路 由 策略 选择 Hubl 
进行 葡 瑟 。 

由 此 可 见 , 在 双 Hub 备份 的 场景 中 ， 同 一 时 刻 只 有 一 个 Hub 在 工作 ， 另 一 个 总 处 于 
备份 待命 状态 。 而 且 仅 当主 用 Hub 出 现 故 障 时 ， 备 用 Hub 才 临 时 起 作用 ， 当 主 用 Hub 
故障 恢复 后 ， 备 份 Hub 又 处 于 待命 状态 。 所 以 总 体 来 说 ， 这 种 纯 备 份 方式 ，Hub 的 利用 
率 不 高 ， 不 是 有 特别 的 需求 ， 一 般 不 采用 这 种 部 署 。 


7.2.7 DSVPN IPSec 保护 原理 


当 企 业 需 要 对 Hub 和 Spoke， 以 及 Spoke 间 传 输 的 数据 进行 加 密 保 护 的 时 候 ， 可 以 
在 部 署 DSVPN 的 同时 使 用 IPSec 安全 框架 ， 实 现 同 时 动态 建立 起 mGRE 隧道 和 IPSec 
隧道 ， 对 应 DSVPN over IPSec， 如 图 7-18 所 示 。 


总 部 子 网 







Spoke 1 
mGRE Tunnel 


© 


图 7-18 ”DSVPN over IPSec 示意 图 


DSVPN over IPSec 具有 以 下 特性 。 

。 mGRE 隧道 建立 的 同时 会 立即 触发 IPsec 隧道 建立 。 

e。 DSVPN 使 用 NHRP 和 mGRE 技术 ， 与 IPSec 联合 部 署 时 可 以 简化 设备 的 配置 ， 
使 得 数据 传输 的 安全 性 得 到 保障 的 同时 ， 网 络 部 署 更 加 简单 。 

e。 由 于 动态 建立 了 Spoke 间 的 IPSec 隧道 ， 使 得 Spoke 间 的 IPSec 数据 交互 不 用 通 
过 总 部 Hub 进行 解密 和 加 密 操 作 ， 降 低 了 数据 传输 时 延 。 

在 DSVPN 网 络 中 的 Hub 和 Spoke 配置 IPSec 安全 框架 ， 并 部 署 于 mGRE 接口 的 基 
本 工作 原理 如 下 。 

(1) 网 络 中 的 所 有 Spoke 问 Hub 发 起 注册 请 求 ， 同 时 Spoke 会 将 在 本 地 配置 的 Hub 
NHRP peer 信息 (主要 需要 Hub 的 公 网 卫 地 址 ) 告知 IPSec 功能 模块 ， 触 发 Spoke 和 
Hub 的 IKE 模块 进行 IPSec 隧道 的 协商 。 

(2) Hub 根据 收 到 Spoke 发 来 的 NHRP 注册 请 求 报 文 后 ， 记 录 Spoke 的 mGRE Tunnel 
接口 的 卫 地 址 与 其 公 网 卫 地 址 的 映射 关系 , 生成 Spoke 的 NHRP peer 表 项 , 并 同 Spoke 
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发 送 NHRP 注册 请 求 应 答 报 文 。 

(3) Spoke 间 根 据 流 量 触发 建立 mGRE 隧道 ， 具 体 原 理 请 参见 7.2.3 节 介绍 的 非 
shortcut 场景 DSVPN 工作 原理 ， 或 7.2.4 节 介 绍 的 shortcut 场景 DSVPN 工作 原理 。 

(4) 在 Spoke 间 mGRE 隧道 建立 的 同时 ，IPSec 模块 从 通过 前 面 建立 GRE 隧道 时 获 
的 对 端 Spoke 的 NHRP peer 信息 中 得 到 对 端 Spoke 的 公 网 IP 地 址 , 根据 该 信息 添加 或 删 
除 IPSec 对 等 体 节点 ， 触 发 Spoke 间 动 态 建 立 IPSec 隧道 。 

(5) Spoke 间 IPSec 隧道 建立 成 功 后 ， 后 续 数 据 转 发 根据 IP 报 文 的 “目的 王 地址 ” 
在 本 地 查找 路 由 表 。 如 果 出 接口 类 型 是 mGRE Tunnel 接口 , 则 根据 路 由 下 一 跳 查找 NHRP 
peer 表 项 ， 获 取 其 对 应 的 公 网 IP 地 址 ， 然 后 再 根据 公 网 IP 地 址 得 找 IPSec SA， 对 报 文 
进行 IPSec 加 密 后 发 送 。 


7.3 ”DSVPN 配置 与 管理 


通过 配置 DSVPN， 使 得 分 文 与 分 文 间 能 够 动态 获取 对 端的 地 址 ， 实 现 分 文 间 构 建 
隧道 进行 直接 VPN 通信 。 当 然 更 可 以 实现 Spoke 与 Hub 的 VPN 通信 。 在 配置 DSVPN 
之 前 ， 需 要 配置 各 节点 设备 公 网 路 由 可 达 。 


7.3.1 配置 任务 


在 DSVPN 的 配置 中 涉及 到 几 项 配置 任务 ， 需 要 分 别 在 总 部 Hub 和 分 文 Spoke 上 进 
行 配 置 。 其 中 “配置 IPSec 安全 框架 ” 仅 用 于 DSVPN over IPSec 场景 ， 但 由 于 DSVPN 
中 的 GRE 和 NHRP 协议 都 没有 提供 加 /解密 功能 ， 报 文 容 易 受 攻击 ， 建 议 选择 此 配置 ， 
以 对 报 文 进行 保护 。 

(1) 配置 mGRE 

这 项 配置 任务 就 是 围绕 mGRE Tunnel 接口 进行 的 ， 包 括 该 接口 IP 地 址 、mGRE 封 
装 类 型 、mGRE 隧道 源 卫 地 址 和 隧道 的 识别 关键 字 配 置 。 

(2) 配置 路 由 

这 里 要 根据 本 章 前 面 介绍 的 非 shortcut 场景 , 或 shortcut 场景 下 所 需 配 置 的 路 由 采取 
静态 或 路 由 配置 方式 配置 所 需 路 由 。 

(3) 配置 NHRP 

这 是 DSVPN 的 一 项 非常 重要 的 配置 ， 但 在 Hub 和 Spoke 上 的 配置 内 容 不 一 样 。 在 
Hub 上 主要 包括 使 能 动态 注册 的 分 支 加 入 NHRP 组 播 成 员 表 功能 和 NHRP 重 定向 功能 ， 
还 可 选 配置 DSVPN 域 、NHRP 协商 的 认证 字符 串 ，NHRP peer 表 项 保持 时 长 等 参数 。 
在 Spoke 上 主要 需 配置 Hub 的 NHRP peer 表 项 ， 当 采用 shortcut 场景 时 还 要 启用 nhrp 
shortcut 功能 ， 可 选 配置 包括 DSVPN 域 、NHRP 协商 的 认证 字符 串 、NHRP 注册 间隔 、 
NHRP 表 项 保持 时 长 等 参数 。 

(4)〔 可 选 ) 配置 并 应 用 IPSec 安全 框架 

IPSec 安全 框 染 的 配置 主要 涉及 到 IKE 安全 提议 、IKE 对 等 体 的 配置 ， 创 建 IPSec 
安全 框架 ， 然 后 在 mGRE Tunnel 接口 上 应 用 安全 框架 。 
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7.3.2 本 在 ImGRE 


为 实现 DSVPN 功能 ,需要 创建 Tunnel 接口 并 将 其 配置 为 mGRE 类 型 ,mGRE Tunnel 
接口 只 需 配 置 隧道 源 IP 地 址 或 源 接口 ， 不 需要 指定 隧道 目的 卫 地 址 ， 这 样 可 以 实现 一 
个 mGRE Tunnel 接口 上 建立 多 条 GRE 隧道 ， 对 应 多 个 GRE 对 端 ， 简 化 设备 上 GRE 的 
配置 。 

需要 在 Spoke 和 Hub 上 分 别 进行 mGRE 配置 ， 具 体 配置 步骤 如 表 7-1 所 示 ， 必 选 配 
置 只 有 mGRE 封装 、 卫 地 址 和 隧道 源 配置 ， 其 余 均 为 可 选 配置 。 


步骤 命令 说 明 


system-view 、 
1 系统 视 
例如 : <Huawei> system-view 进入 系统 视图 


创建 Tunnel 接口 ， 并 进入 Tunnel 接口 视图 。Tunnel 接口 
的 格式 为 “ 覃 位 号 /卡号 /端口 号 ” 槽 位 号 、 卡 号 均 为 整数 
形式 ， 取 值 与 具体 的 AR G3 系列 路 由 器 有 关 ; 端口 号 为 整 


interface tunnel interface- 数 形式 。 


表 7-1 配置 mGRE Tunnel 接口 的 步骤 


numbe 、 、 、 
鸭 例如 : ee interface 【说 明 】Tunnel 接口 编号 只 具有 本 地 意义 ， 隧 道 两 端 配 置 
的 Tunnel 接口 编号 可 以 不 同 。 
tunnel 0/0/1 
缺 省 情况 下 , 系统 未 创建 Tunnel 接口 , 可 用 undo interface 
tunnel interface-number 命令 删除 指定 的 Tunnel 接口 ,但 如 
果 Tunnel 正在 被 使 用 ， 删 除 后 会 影响 使 用 该 Tunnel 的 业务 
ip address ip-address { mask | 
k-length 
3 oe 配置 Tunnel 接口 的 IP 地 址 


例如 : [Huawei-Tunnel0/0/1] ip 

address 10.1.1.1 24 

配置 Tunnel 接口 的 隧道 协议 为 mGRE。 

EE 【说 明 】 必 须 先 指定 隧道 协议 后 才能 进行 后 面 步骤 中 的 参数 
”PD | 配置 修改 隧道 封装 模式 会 删除 该 隧道 下 已 配置 的 相关 

4 例如 : [Huawei-Tunnel0/0/1] 参数 

tunnel-protocol gre p2m ee 

| 缺 省 情况 下 ，Tunnel 接口 的 隧道 协议 为 none， 即 不 进行 任 

何 协 议 封 装 ， 可 用 undo tunnel-protocol 命令 恢复 缺 省 配置 

设置 隧道 的 源 IP 地 址 或 源 接口 。 命 令 中 的 参数 说 明 如 下 。 

e vpn-instance vpn-instance-name: 可 选 参数 ， 指 定 隧 道 的 

Source { [ vpn-instance vpn- 源 地 址 所 属 的 VPN 实例 的 名 称 ， 必 须 是 已 存在 的 VPN 实 


instance-name | source- 例 名 称 。 
ip-address | interface-type 


5 interface-number } e source-ip-address: 二 选 一 参数 ， 指 定 隧道 的 源 PP 地 址 。 
例如 ; [Huawei-Tunnel0/0/1] e interface-type interface-number: 二 选 一 参数 ， 指 定 隧道 
source loopback 0 的 源 接口 ， 通 常 是 公 网 物理 接口 ， 也 可 以 是 其 他 接口 。 

缺 省 情况 下 ， 系 统 不 指定 隧道 的 源 地 址 或 源 接口 ， 可 用 
undo source 命令 删除 配置 的 Tunnel 源 地 址 或 源 接口 
a (可 选 ) 设置 GRE 隧道 的 识别 关键 字 。 当 多 个 mGRE 隆 道 
Bey Pi Wer | | 接口 使 用 了 相同 的 源 二 地 址 或 源 接口 时 , 则 必须 在 mGRE 
6 隧道 接口 配置 隧道 的 识别 关键 宇 ， 以 便 对 端 验证 源 端 是 否 


例如 : [Huawei-Tunnel0/0/1] 属于 与 自己 属于 同一 GRE 隧道 .命令 中 的 参数 和 选项 说 明 


如 下 。 


gre key cipher 123456 
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( 续 表 ) z 
_ 步 台 TN J 
。 plain key-number: 二 选 一 参数 ， 指 定 识别 天 键 字 显 示 为 
明文 形式 〈 此 时 ， 识 别 关 键 字 将 以 明文 形式 保存 在 配置 文 
件 中 )， 整 数 形 式 ， 取 值 范 围 是 0 一 4294967295。 
e [cipher ] plain-cipher-text: 二 选 一 参数 ， 指 定 识别 关键 
字 显 示 为 密 文 形 式 〈 此 时 ， 识 别 关 键 字 将 以 密 文 形式 保存 
在 配置 文件 中 )， 可 以 输入 整数 形式 的 明文 ， 取 值 范 围 是 
gre key { plain key-number | | 0~4294967295; 也 可 以 输入 32 位 或 48 位 字符 串 长 度 的 密 
6 “| 【ipher ] plain-cipher-text } | 文 。 选 择 可 选 时 ， 识 别 关键 字 是 以 密 文保 存 。 
为 了 增强 GRE 隧道 的 安全 性 ， 可 以 对 GRE 隧道 两 端 设 置 
GRE 隧道 的 识别 关键 字 ， 通 过 这 种 安全 机 制 防止 错误 识 
别 、 接 收 其 他 地 方 来 的 报 文 。 只 有 Tunnel 两 端 设 置 的 识别 
关键 字 完 全 一 致 时 才能 通过 验证 ， 否 则 将 报 文 丢 弃 。 
本 命令 为 覆盖 式 配 置 ， 后 一 次 配置 会 覆盖 前 一 次 的 配置 。 
缺 省 情况 下 ，GRE 隧道 没有 设置 识别 关键 字 ， 可 用 undo 
gre key 命令 删除 为 GRE 隧道 所 配置 的 识别 关键 字 
【经 验 提示 】〗 因 为 mGRE Tunnel 接口 是 一 个 点 对 多 点 接口 ， 可 以 与 多 个 对 端 建立 GRE 
隧道 。 也 就 是 多 个 GRE 隧道 的 其 中 一 个 端点 共用 了 一 个 mGRE Tunnel 接口 ， 所 以 这 些 
多 个 GRE 隧道 的 另 一 端 都 需要 与 这 个 mGRE Tunnel 接口 能 直接 通信 。 虽 然 我 们 在 第 6 
章 介 绍 到 ，Tunnel 接口 的 链 路 层 协议 是 PPP， 两 端的 卫 地 址 可 以 不 一 样 , 但 这 需要 特别 
配置 的 ， 为 了 简化 配置 ， 我 们 通常 是 把 各 mGRE Tunnel 接口 的 IP 地 址 配置 在 同一 也 -网 
段 。 这 样 ， 如 果 整 个 DSVPN 中 的 Hub、Spoke 间 均 要 建立 VPN 通信 ， 则 整个 网 络 中 的 
各 种 mGRE Tunnel 接口 的 IP 地 址 都 要 在 同一 了 网 段 ;- 这 点 要 特别 注意 ， 不 要 随便 配置 
这 些 隧 道 接 口 的 IP 地 址 。 当 然 ， 这 一 般 在 事先 就 要 规划 好 ， 包 括 Hub 和 Spoke 所 连接 
的 子 网 所 在 的 IP 网 段 (最 好 是 连续 子 网 ， 以 便 汇 聚 )。 


7.3.3 ”配置 路 由 


在 Spoke 和 Hub 上 都 必须 存在 经 mGRE Tunnel 接口 转发 的 路 由 ， 这 样 通 过 GRE 封 
装 的 报 文才 能 正确 转发 。 经 过 mGRE Tunnel 接口 转发 的 路 由 可 以 是 静态 路 由 ， 也 可 以 是 
动态 路 由 。 

在 7.2.3 节 和 7.2.4 节 已 介绍 ， 针 对 不 同 的 场景 ，DSVPN 都 有 两 种 不 同 的 路 由 部 署 
模式 与 之 对 应 ， 但 具体 配置 方法 来 说 存在 差异 ， 具 体 如 下 。 

(1) 非 shortcut 场景 : 部 蜀 Spoke 间 相 互 学 习 路 由 

非 shortcut 场景 是 指 在 中 小 型 网 络 中 ， 由 于 Spoke 较 少 ， 采 用 Spoke 间 相 互 学 习 路 
由 方案 , 使 源 Spoke 到 目的 Spoke 子 网 的 路 由 下 一 跳 为 目的 Spoke 的 mGRE Tunnel 接口 
IP 地 址 的 一 种 网 络 场景 。 采 用 这 种 部 署 方案 ，Spoke 间 的 动态 路 由 学 习 规模 较 小 ， 对 于 
Hub 和 Spoke 设备 的 性 能 要 求 比较 均衡 。 

(2) shortcut 场景 :部署 分 文 只 保存 到 总 部 的 汇聚 路 由 

在 分 文 机 构 数 上 月 较 多 的 大 型 网 络 中 ， 应 用 非 shortcut 场景 时 Spoke 需要 保存 整个 网 
络 的 路 由 信息 , 同时 还 需要 大 量 CPU 和 内 存 资源 来 计算 动态 路 由 协议 ,会 对 Spoke 的 路 
由 表 容 量 和 性 能 有 较 高 的 要 求 。 针 对 这 种 缺点 ， 可 以 选择 DSVPN shortcut 场景 ， 部 署 


例如 : [Huawei-Tunnel0/0/1] 
gre key cipher 123456 
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Spoke 只 保存 到 Hub 的 汇聚 路 由 方案 ,使 源 Spoke 到 目的 Spoke 子 网 的 路 由 下 一 跳 为 Hub 
的 mGRE Tunnel 接口 IP 地 址 。 

以 上 两 种 应 用 场景 的 路 由 方案 均 既 可 以 采用 静态 路 由 配置 方式 ， 也 可 以 采用 动态 路 
由 配置 方式 ， 但 在 shortcut 场景 中 ， 由 于 Spoke 数量 多 ， 各 Spoke 子 网 可 能 很 难 聚 合成 
一 个 网 段 ， 这 样 如 条 采用 静态 路 由 配置 方式 的 话 ， 各 Spoke 仍 可 能 需要 配置 多 格 汇聚 路 
由 ， 所 以 通常 是 采用 动态 路 由 配置 方式 。 

1. 配置 静态 路 由 

采用 静态 路 由 配置 方式 时 ， 仪 需 通 过 ip route-static ip-address { mask | mask-length } 
nexthop-address [ description text ] 命 令 进 行 配置 。 但 在 两 种 应 用 场景 下 具体 的 配置 方式 有 
所 不 同 。 

。 在 非 shortcut 场景 下 配置 静态 路 由 时 ，Hub 和 Spoke， 以 及 Spoke 间 都 需要 配置 
到 达 对 端子 网 的 静态 路 由 ， 下 一 跳 为 对 端的 mGRE Tunnel 接口 的 IP 地 址 。 也 就 是 需要 
一 条 条 配置 到 达 各 个 对 问 的 明细 议 态 路 由 。 

e 在 shortcut 场景 配置 静态 路 由 时 ，Hub 和 Spoke 也 都 需要 配置 所 需 的 静态 路 由 ， 
但 Hub 需 指 定 下 一 跳 为 各 Spoke 的 mGRE Tunnel 接口 下 地址， 到达 各 Spoke 子 网 的 明 
细 静 态 路 由 , 而 Spoke 只 和 需 配置 一 条 或 少数 几 条 能 包括 需要 与 本 Spoke 建立 VPN 通信 的 
Hub 子 网 和 其 他 Spoke 子 网 的 汇聚 路 由 ， 且 下 一 跳 均 为 Hub 的 mGRE Tunnel 接口 PP 地 
址 。 这 样 配 置 的 目的 当然 就 是 到 达 所 有 其 他 Spoke 的 报 文 均 从 Hub 进行 转发 , 简 少 Spoke 
上 保存 的 路 由 表 项 数 。 

这 时 需要 先 计 算 好 Hub 子 网 和 其 他 要 建立 VPN 通信 的 Spoke 子 网 的 聚合 网 络 。 如 
Hub 上 的 子 网 为 192.168.0.0/24， 另 两 个 需要 与 本 Spoke 建立 VPN 通信 的 Spoke 子 网 分 
别 为 192.168.1.0/24 和 192.168.2.0/24, 则 此 时 我 们 可 以 计算 这 三 个 子 网 的 最 佳 聚合 网 络 。 
计算 方法 是 把 各 子 网 的 网 络 地 址 中 从 最 高 字 节 开始 把 相同 的 字 节 值 保留 下 来 ， 然 后 对 从 
第 一 个 不 同 的 字 节 开始 ， 直 到 最 后 一 位 用 二 进 制 形式 表示 ， 再 把 它们 相同 的 连续 位 保留 
下 来 ， 不 同 的 连续 位 全 部 置 0， 即 可 得 出 它们 的 最 佳 聚 合 网 络 。 

如 192.168.0.0/24、192.168.1.0/24 和 192.168.2.0/24 三 个 子 网 的 最 佳 聚合 网 络 的 计算 
方 演 好 下 。 

(1) 首先 可 以 看 出 ， 这 三 个 子 网 的 网 络 地 址 中 最 高 的 两 个 字 节 是 相同 的 ， 均 为 
192.168; :保留 下 来 。 

(2) 然后 把 三 个 子 网 网 络 地 址 中 从 第 一 个 不 同 的 字 节 开始 到 最 后 一 位 用 二 进 制 形 式 
表示 出 来 〈 本 示例 中 仅 包 括 最 低 两 个 字 节 )， 有 具体 如 下 : 

00000000 00000000 

00000001 00000000 

00000010 00000000 

从 中 可 以 看 出 ， 这 三 个 子 网 网 络 地 址 中 最 低 两 个 字 节 有 高 6 位 是 连续 相同 的 ， 保 留 
它们 的 值 ， 然 后 把 后 面 10 位 全 部 置 0， 得 出 聚合 网 络 中 最 低 两 个 字 节 的 全 为 00000000 
00000000， 转 换 成 十 进 制 就 是 0.0， 但 只 有 前 面 6 位 属于 子 网 ID。 

(3) 再 把 前 面 保留 下 来 的 最 高 两 个 字 节 192.168 与 上 面 计算 出 最 低 两 个 字 节 值 ， 就 
得 出 这 三 个 子 网 的 最 佳 聚 合 网 络 为 192.168.0.0/22。 
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【经 验 提 示 】 有 的 人 喜欢 直接 取 更 大 的 自然 网 段 进行 子 网 聚合 , 因为 这 样 简单 、 快 捷 。 
但 这 仅 在 要 求 不 高 的 情况 下 是 可 以 的 ,如 果 严 格 要 求 仅 菜 些 Spoke 可 以 直接 建立 VPN 通 
信 ， 而 另 一 些 Spoke 间 不 允许 直接 进行 VPN 通信 时 ， 这 样 聚 合 可 能 就 不 能 满足 要 求 了 。 
因为 这 样 直 接 汇聚 到 对 应 自然 网 段 时 ， 可 能 会 包括 本 来 不 允许 建立 VPN 通信 的 Spoke 
子 网 。 

如 以 上 示例 中 , 如果 直接 汇聚 成 192.168.0.0/16， 则 它 可 包括 的 范围 就 不 仅 是 以 上 三 
个 子 网 了 ， 这 样 像 192.168.8.0/24 之 后 的 子 网 都 包括 进去 了 。 而 事实 上 如 果 恰 好 有 这 样 
一 个 Spoke， 它 的 子 网 正好 是 192.168.10.0/24， 但 又 不 允许 它 与 192.168.1.0/24 Spoke 子 
网 直接 建立 VPN， 则 汇聚 路 由 就 不 能 选择 192.168.0.0/16 了 。 

2. 配置 动态 路 由 

在 DSVPN 中 ， 可 以 使 用 RIF、OSPF 或 BGP 动态 路 由 协议 。 但 在 使 用 不 同 的 动态 
路 由 协议 时 ， 需 要 注意 表 7-2 所 示 的 事项 。 


表 7-2 采用 动态 路 由 配置 时 要 注意 的 事项 


总 部 Hub 的 mGRE Tunnel 接口 上 使 用 | 总 部 Hub 和 分 文 Spoke 
undo rip split-horizon 命令 命令 关闭 水 | 的 OSPF 网 络 类 型 要 
平分 割 〈 在 NBMA 网 络 中 默认 是 关闭 | 通过 ospf network-type 
的 ), 在 系统 视图 下 使 用 undo summary | broadcast 命令 配置 成 
命令 关闭 目 动 路 由 聚合 功能 广播 类 型 


总 部 Hub 的 mGRE Tunnel 接口 上 使 用 









总 部 Hub 不 能 
置 路 由 聚合 


非 shortcut 
场景 


总 部 Hub 和 分 文 Spoke | 总 部 Hub 配置 路 
的 OSPF 网 络 类 型 要 通 | 由 聚合 〈 可 以 是 
过 ospf network-type | 无 类 的 手动 聚 
p2mp 命令 配置 成 点 到 | 合 ， 也 可 以 是 有 
多 点 型 类 的 上 自动 聚合 ) 


rip Split-horizon 命令 开启 水 平分 割 (在 
NBMA 网 络 中 ， 缺 省 情况 未 使 能 水 平 
分 割 功 能 )， 使 用 rip summary-address 
ip-address mask 命令 配置 手动 路 由 聚 
合 功 能 《〈 仅 适用 于 RIP-2 版 本 ) 


shortcut 场景 


【经 验 提 示 】 之 所 以 要 在 非 Shortcut 场景 中 使 用 RIP 路 由 协议 时 ， 要 在 Hub 上 的 mGRE 
Tunnel 接口 上 关闭 水 平分 割 功 能 和 路 由 聚合 功能 ， 那 是 因为 在 这 种 场景 中 各 端 都 通告 了 
自己 的 mGRE Tunnel 接口 IP 地 址 所 在 网 段 和 子 网 网 段 ， 且 通常 情况 下 ， 各 设备 上 mGRE 
Tunnel 接口 的 IP 地 址 在 同一 IP 网 段 ，Hub 和 Spoke 所 连接 的 子 网 也 很 有 可 能 是 连续 子 
网 ， 而 RIP 路 由 协议 又 仅 能 以 自然 网 段 进行 网 段 通告 。 这 样 一 来 ， 各 设备 间 通 告 的 网 段 
很 可 能 有 些 是 相同 的 〈 至 少 各 设备 mGRE Tunnel 接口 卫 地 址 所 在 网 段 是 一 样 的 )。 如 果 
开启 水 平分 割 功能 的 话 ，Hub 可 能 不 会 发 送 与 源 Spoke 相同 网 段 的 路 由 信息 ， 可 能 会 阻 
止 源 Spoke 通过 Hub 学 习 其 他 目的 Spoke 的 路 由 。 另 外 ， 因 为 在 非 Shortcut 场景 中 ， 需 
要 学 习 对 方 的 明细 路 由 ， 不 是 聚合 路 由 ， 所 以 要 在 Hub 上 关闭 路 由 聚合 功能 。 

而 在 Shortcut 场景 下 ， 因 为 Spoke 仅 配 置 指向 Hub 的 汇聚 路 由 ， 而且 Hub 向 Spoke 
发 布 的 也 只 是 包括 各 子 网 在 内 的 聚合 路 由 (不 是 菜子 网 的 明细 路 由 ) ,所 以 为 了 尽 可 能 避 
免 Hub 和 Spoke 间 出 现 路 由 环 路 ,建议 在 Hub 上 开启 水 平分 割 功能 ,同时 启用 路 由 聚合 
功能 。 


之 所 以 要 在 非 shortcut 场景 中 ，Hub 和 Spoke 的 mGRE Tunnel 接口 要 使 用 OSPF 路 
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由 协议 时 要 OSPF 网 络 为 广播 型 的 ， 那 是 因为 在 非 shortcut 场景 中 各 设备 间 都 要 相互 学 
习 路 由 。 而 在 Shortcut 场景 中 ，Hub 和 Spoke 的 mGRE Tunnel 接口 要 使 用 OSPF 路 由 协 
议 时 要 OSPF 网 络 为 P2MP 型 的 , 那 是 因为 在 Shortcut 场景 中 各 Spoke 的 路 由 都 是 从 Hub 
发 布 的 汇聚 路 由 学 习 到 的 ， 是 点 对 多 点 学 习 方 式 。 

而 在 非 shortcut 场景 中 , 使 用 BGP 路 由 协议 时 不 要 路 由 聚合 , 原因 与 前 面 的 类 似 ， 
也 是 因为 在 这 种 场景 下 ， 各 设备 间 都 是 直接 进行 明细 路 由 学 习 ， 而 不 是 汇聚 路 由 。 反 
之 在 Shortcut 场景 中 ， 各 Spoke 仅 从 Hub 中 学 习 汇 聚 路 由 ， 所 以 要 开启 手动 路 由 聚合 


功能 。 
7.3.4 配置 NHRP 


NHRP 在 DSVPN 中 用 于 解决 公共 网 络 上 的 源 Spoke 如 何 动态 获取 目的 Spoke 公 网 
地 址 的 问题 。Spoke 接 入 公 网 时 使 用 当前 物理 接口 的 公 网 IP 地 址 向 Hub 发 送 NHRP 注 
册 请 求 进行 注册 , Hub 根据 这 些 请 求 信息 ,创建 或 刷新 对 应 Spoke 的 NHRP peer 表 。Spoke 
间 通 过 NHRP 地 址 解析 请 求 和 应 答 ， 创 建 和 刷新 对 问 Spoke 的 NHRP peer 表 。 

在 非 shortcut 场景 和 shortcut 场景 中 , 分 别 需 要 在 Spoke 和 Hub 上 进行 NHRP 配置 ， 
Hub 上 的 配置 步骤 如 表 7-3 所 示 ， 必 选 配置 只 有 人 允许 动态 注册 的 分 文 加 入 NHRP 组 播 成 
员 表 这 一 项 ， 当 采用 shortcut 场景 时 还 要 开启 NHRP 重 定 同 功 能 ， 其 他 均 为 可 选 配置 ; 
Spoke 上 的 配置 步骤 如 表 7-4 所 示 ， 必 选 配置 只 有 配置 Hub NHRP peer 表 项 这 一 项 ， 当 
采用 shortcut 场景 时 还 要 开启 NHRP shortcut 功能 ， 其 他 均 为 可 选 配置 。 


表 7-3 Hub 上 的 NHRP 配置 步骤 


SR 说 明 
system-view i 
例如 : <Huawei> system-view 进入 系统 视图 
interface tunnel interface- 
number 
进入 mGRE Tunnel 接口 视图 


例如 : [Huawei] interface 
tunnel 0/0/1 


(可 选 ) 配置 接口 所 属 DSVPN 域 ， 整 数 形式 ， 取 值 范围 是 
1 一 429496729$S。NHRP 域 , 仅 本 地 生效 ,不 通过 NHRP 报 
文 进行 传递 。 
修改 network-id 之 后 ， 设 备 上 已 学 习 到 的 NHRP peer 不 会 
受到 影响 , 已 建立 的 IPSec 隧道 不 会 重建 。 但 设备 转发 NHRP 
报 文 时 ， 如 果 出 、 入 接口 都 是 mGRE 接口 ， 需 判别 出 、 入 
mGRE 接口 的 network-id 是 否 相同 。 对 于 不 同类 型 的 NHRP 
nhrp network-id number 报 文 ， 有 如 下 影响 。 
ee 0 OO。 | 。 对 于 NHRP 注册 请 求 报 文 和 注册 请 求 应 答 报 文 ，NHRP 
模块 不 支持 NHRP 注册 报 文 的 转发 ， 对 原 有 的 NHRP 注册 
流程 不 影响 。 
e。 对 于 NHRP 解析 请 求 报 文 ，NHRP 模块 判别 NHRP 报 
文 是 否 是 过 路 报 文 ， 如 果 是 过 路 NHRP 报 文 且 出 mGRE 
接口 的 network-id 与 入 mGRE 接口 的 network-id 不 同 ， 
则 终结 该 NHRP 解析 请 求 报 文 ， 问 源 端 发 NHRP 解析 请 
求 啊 应 。 
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nhrp network-id number 


例如 : [Huawei-Tunnel0/0/1] 
nhrp network-id 100 


nhrp entry multicast dynamic 
例如 : [Huawei-Tunnel0/0/0] 
nhrp entry multicast dynamic 


nhrp authentication { simple 
string | cipher cipher-string } 
例如 : [Huawei-Tunnel0/0/1] 
nhrp authentication cipher 
huawei(@1234 


nhrp entry holdtime seconds 
Seconds 
例如 : [Huawei-Tunnel0/0/1] 


nhrp entry holdtime seconds 
1800 
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说 明 
。 对 于 NHRP 解析 请 求 应 答 报 文 、purge 请 求 报 文 、purge 请 求 
应 答 报 文 和 Redirect 报 文 ，NHRP 模块 也 判别 这 些 NHRP 报 文 
是 否 是 过 路 报 文 ， 如 果 是 过 路 NHRP 报 文昌 出 mGRE 接口 的 
network-id 与 入 mGRE 接口 的 network-id 不 同 ， 则 丢弃 该 报 文 。 
缺 省 情况 下 ， 接 口 所 属 DSVPN 域 为 0， 可 用 undo nhrp 
network-id 命令 恢复 本 地 mGRE 接口 所 属 缺 省 NHRP 域 
配置 允许 动态 注册 的 分 文 加 入 NHRP 组 播 成 员 表 。 
当 分 支 节点 间 需 要 进行 通信 时 ， 需 要 获得 对 方 的 路 由 信息 ， 
此 时 需 在 总 部 节点 上 执行 本 命令 ， 使 总 部 节点 将 注册 的 分 
支 节 点 加 入 到 组 播 成 员 表 。 之 后 对 分 支 节 点 发 送 过 来 的 组 
播报 文 ， 总 部 节点 对 报 文 进行 复制 并 根据 组 播 成 员 表 进行 
发 送 ， 这 样 可 实现 分 支 节 点 间 报 文 的 交互 。 
【说 明 】 执 行 该 命令 之 后 ， 在 分 支 节点 数量 庞大 时 ， 如 果 进 
行 完全 的 路 由 信息 的 交换 ， 对 总 部 节点 的 CPU 资源 占用 较 
大 。 此 时 可 以 通过 配置 shortcut 场景 DSVPN 结合 使 用 路 由 
聚合 功能 来 实现 分 支 间 的 直接 通信 。 
缺 省 情况 下 ， 没 有 配置 动态 注册 的 分 文 加 入 NHRP 组 播 成 
员 表 , 可 用 undo nhrp entry multicast dynamic 命令 去 使 能 
将 动态 注册 的 分 支 加 入 NHRP 组 播 成 员 表 功能 
(可 选 ) 配置 NHRP 协商 的 认证 字符 串 。 命 令 中 的 参数 说 明 
如 下 。 
e simple string: 二 选 一 参数 ， 指 定 NHRP 协商 的 明文 认证 
字符 串 ， 长 度 为 1 一 8， 区 分 大 小 写 ， 文 持 特 殊 字 符 ， 但 字 
符 串 中 不 能 包含 “? ”和 空格 。 
e cipher cipher-string: 二 选 一 参数 ， 指 定 NHRP 协商 的 密 文 认 
证 字符 串 ， 明 文 形 式 时 长 度 为 1 一 8， 密 文 形 式 时 长 度 为 48， 区 
分 大 小 写 ， 文 持 特殊 字符 ， 但 字符 串 中 不 能 包含 “? ”和 空格 。 
【说 明 】 在 总 部 节点 和 分 支 节点 执行 该 命令 之 后 ， 分 支 节点 
向 总 部 节点 注册 时 ， 根 据 注 册 请 求 报 文中 的 认证 字符 串 来 判 
定 是 否 处 理 该 注册 报 文 。 如 果 总 部 节点 上 配置 的 认证 字符 串 
与 注册 请 求 报 文中 的 认证 字符 串 不 一 致 ， 则 总 部 节点 不 会 处 
理 该 分 支 的 注册 请 求 ; 如 果 总 部 节点 上 配置 的 认证 字符 串 与 
注册 请 求 报 文中 的 认证 字符 串 一 致 ， 总 部 节点 则 会 处 理 该 分 
支 的 注册 请 求 。 但 如 果 分 支 上 配置 了 认证 字符 串 但 是 总 部 节 
点 上 没有 配置 认证 字符 串 ， 则 不 会 进行 认证 字符 串 的 认证 。 
缺 省 情况 下 ,没有 配置 NHRP 协商 的 认证 字符 串 , 可 用 undo 
nhrp authentication 命令 删除 NHRP 协商 的 认证 字符 串 
(可 选 ) 配置 NHRP 表 项 保持 时 长 ， 取 值 范围 是 5~31845， 
单位 为 s， 但 不 能 小 于 在 分 文 上 通过 nhrp registration 
interval 命令 设置 的 分 支 节 点 定时 注册 的 间隔 时 间 。 
【说 明 】 该 命令 配置 的 老化 时 间 为 本 端 通告 给 对 端 、 对 端 保 
留 本 地 NHRP peer 表 项 的 时 长 。 当 出 现 网 络 异 常 等 情况 时 ， 
对 端 设备 会 根据 设置 的 老化 时 间 及 时 删除 掉 本 地 的 NHRP 
peer 表 项 ， 等 到 网 络 恢复 后 ， 分 支 节 点 会 重新 向 总 部 节点 
注册 新 的 NHRP peer 表 项 。 
缺 省 情况 下 ,NHRP 表 项 保持 时 长 为 7200s, 可 用 undo nhrp 
entry holdtime 命令 恢复 缺 省 配置 
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nhrp redirect 


例如 : [Huawei-Tunnel0/0/1] 
nhrp redirect 


system-view 


例如 : <Huawei> system-view 
interface tunnel interface- 
number 

例如 : [Huawei] interface 
tunnel 0/0/1 

nhrp network-id number 
例如 : [Huawei-Tunnel0/0/1] 
nhrp network-id 100 


nhrp entry protocol-address 

{ dns-name | nbma-address } 

[ register | [ track apn apn-name | 
例如 : [Huawei-Tunnel0/0/1] 
nhrp entry 10.10.10.10 
202.10.10.1 register 





Spoke 上 的 NHRP 配置 步骤 
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( 续 表 ) 
能 nhrp redirect〈 重 定 同 ) 功能 。 在 shortcut 场景 
配置 ， 必 须 配 置 。 此 时 ， 分 文 节 点 上 需要 同时 使 能 nhrp 
shortcut 功能 (参见 下 面 的 表 7-4 中 的 第 8 步 ) 才能 实现 分 
文 间 建 立 隧道 进行 直接 通信 。 
【说 明 】 在 总 部 节点 执行 该 命令 之 后 ， 不 论 分 支 节点 是 否 使 
能 本 功能 ， 对 总 部 节点 均 无 影响 。 但 是 ， 如 果 分 支 节点 未 
使 能 nhrp shortcut 功能 ， 总 部 节点 会 根据 每 个 数据 包 发 送 
一 个 nhrp redirect 报 文 , 造成 CPU 资源 以 及 网 络 资源 的 浪 
费 。 可 以 通过 在 分 支 节点 使 能 本 功能 解决 
缺 省 情况 下 ， 未 使 能 nhrp redirect 功能 ， 可 用 undo nhrp 
redirect 命令 去 使 能 NHRP redirect 功能 








进入 系统 视图 


进入 mGRE Tunnel 接口 视图 


(可 选 ) 配置 接口 所 属 DSVPN 域 ， 其 他 说 明 参 见 7-3 中 的 
第 3 步 


配置 中 的 静态 NHRP peer 表 项 。 当 配置 DSVPN 功能 时 ， 
需 使 用 该 命令 在 分 支 节 点 上 静态 配置 NHRP peer( 总 部 市 
点 ) 的 mGRE Tunnel 接口 IP 地址 与 公 网 JP 地址 或 者 mGRE 
Tunnel 接口 IP 地 址 与 域名 的 映射 关系 。 当 分 支 节 点 问 总 部 
节点 进行 注册 时 ， 总 部 节点 也 会 生成 本 分 文 的 mGRE 
Tunnel 接口 IP 地 址 和 公 网 IP 地 址 的 映射 关系 ， 此 时 分 文 
节点 和 总 部 节点 可 以 通过 VPN 隧道 进行 直接 通信 。 命令 中 
的 参数 和 选项 说 明 如 下 。 

e protocol-address: 指定 NHRP peer 的 mGRE Tunnel 接口 
IP 地 址 。 

e dns-name: 二 选 一 参数 ， 指 定 NHRP peer 的 域名 ， 字 符 
串 格 式 ， 区 分 大 小 写 ， 长 度 范围 是 1 一 23$。 当 DNS 域名 
对 应 的 IP 地 址 发 生变 更 时 , 静态 的 NHRP peer 无 法 目 动 啊 
应 IP 地 址 变化 ， 管 理 员 需 手工 重 配 置 该 nhrp peer 或 
shutdown/undo shutdown 一 下 mGRE Tunnel 接口 。 

e nbma-address: 二 选 一 参数 ， 指 定 NHRP peer 中 的 公 网 
IP 地 址 。 

e register: 可 选项 ， 启 动 分 支 节 点 向 总 部 节点 发 起 NHRP 
注册 请 求 ， 使 得 总 部 节点 上 生成 关于 本 分 文 节 点 的 NHRP 
peer 表 项 。 

。 track apn apn-name: 可 选 参 数 ， 指 定 将 NHRP peer 信息 
与 APN 模板 关联 ， 用 于 与 移动 cellular 接口 下 配置 的 APN 
模板 关联 。 
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nhrp entry protocol-address 
{ dns-name | nbma-address } 缺 省 情况 下 ,未 在 本 地 NHRP 映射 表 中 添加 静态 NHRP peer 
[ register ] [ track apn apn-name ] | 信息 ， 可 用 undo nhrp entry protocol-address { dns-name | 
例如 : [Huawei-Tunnel0/0/1] nbma-address } [ register ] [ track apn apn-name ] 命令 删 
nhrp entry 10.10.10.10 除 本 地 NHRP 映射 表 中 静态 NHRP peer 信息 
202.10.10.1 register 
(可 选 ) 配置 NHRP 注册 时 允许 覆盖 冲突 的 NHRP peer 表 项 
分 文 节 点 问 总 部 节点 NHRP 注册 时 ， 总 部 节点 会 生成 关于 
分 文 节 点 的 NHRP peer 表 项 。 在 分 支 节点 公 网 地 址 改变 后 
分 重新 进行 NHRP 注册 时 ， 大 总 部 节点 需要 保存 最 新 的 分 
nhrp registration no-unique 蔓 闻 所 信息 3 pie ws 人 
[i Toei 可 在 分 文 节 点 执行 本 命令 , 否则 新 的 NHRP peer 表 项 不 会 履 
YE 盖 总 部 节点 上 旧 的 NHRP peer 表 项 ， 新 注册 表 项 会 被 丢弃 。 
nhrp registration no-unique 【说 明 】 这 一 步 在 V200R006 版 本 以 前 ， 是 在 Hub 配置 的 ， 
只 是 在 V200R006 及 以 后 版 本 中 才 是 在 Spoke 上 配置 。 
缺 省 情况 下 , NHRP 注册 时 不 履 盖 冲突 的 NHRP peer 表 项 ， 
可 用 undo nhrp registration no-unique 命令 去 使 能 NHRP 
注册 时 才 盖 冲突 的 NHRP peer 表 项 功能 
nhrp authentication { simple 
string | cipher cipher-string } (可 选 ) 配置 NHRP 协商 的 认证 字符 串 。 如 果 总 部 Hub 执 
6 | 例如 : [Huawei-Tunnel0/0/1] 行 了 该 配置 ， 分 支 Spoke 必须 执行 该 配置 。 
nhrp authentication cipher 其 他 说 明 参 见 表 7-3 中 的 第 $ 步 
huawei(®1234 


nhrp entry holdtime seconds 
Seconds 





(可 选 ) 配置 NHRP 表 项 保持 时 长 。 其 他 说 明 参 见 表 7-3 中 










例如 :， [Huawei-TunnelOO/1] nhrp | 的 第 6 步 
entry holdtime seconds 1800 
(可 选 ) 使 能 NHRP shortcut 功能 ， 仅 当 采 用 shortcut 场景 
nhrp shortcut 时 才 和 需要 配置 。 此 时 总 部 节点 上 需要 使 能 nhrp redirect 功 
8 | 例如 : [Huawei-Tunnel0/0/1] | 能 ， 参 见 表 7-3 中 的 第 7 步 。 






缺 省 情况 下 ， 未 使 能 NHRP shortcut 功能 ， 可 用 undo nhrp 
shortcut 命令 去 使 能 NHRP shortcut 功能 


nhrp shortcut 






7.3.5 ”配置 并 应 用 IPSec 安全 框架 


当 企 业 需 要 对 总 部 和 分 文 机 构 以 及 分 文 机 构 间 传输 的 数据 进行 加 密 保 护 的 时 候 ， 可 
以 在 部 效 DSVPN 的 同时 绑 定 IPSec 安全 框架 ， 实 现 分 支 间 同时 动态 建立 起 mGRE 隧道 
和 IPSec 隧道 ， 即 部 署 DSVPN over IPSec 方案 。 

在 进行 DSVPN over IPSec 部 署 时 , 需要 先 在 设备 上 准备 好 IPSec 安全 提议 和 IKE 对 
等 体 ， 分 别 参见 本 书 第 2 章 的 2.4.3 节 和 第 3 章 的 3.1.3 节 。 然 后 在 Spoke 和 Hub 上 都 要 
按 表 7-5 节 的 步骤 配置 并 应 用 IPSec 安全 框架 。 

表 7-5 Spoke 上 的 NHRP 配置 步骤 


system-view | 
3 oN 2 二 
例如 : <Huawei> system-view 进入 系统 视图 
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( 续 表 ) 









说 明 





ipsec profile profile-name 






2 例如 : [Huawei] ipsec profile | 创建 一 个 IPSec 安全 框架 ， 并 进入 安全 框架 视图 
profilel 
proposal proposal-name 

3 例如 : [Huawei-ipsec-profile- ”| 绑 定 所 定义 的 IPSec 安全 提议 


profilel | proposal propl 
ike-peer peer-name 

4 例如 : [Huawei-ipsec-profile- ”| 绑 定 所 配置 的 IKE 对 等 体 
profilel | ike-peer peerl 





设置 协商 时 使 用 的 PFS 特性 。 命 令 中 的 选项 说 明 如 下 。 
。dh-groupl: 多 选 一 选项 ， 表 示 协 商 时 采用 768-bit 的 
Diffie-Hellman 组 。 
e dh-group2: 多 选 一 选项 ， 表 示 协 商 时 采用 1024-bit 的 
Diffie-Hellman 组 。 
e dh-groupS$: 多 选 一 选项 ， 表 示 协 商 时 采用 1536-bit 的 
pfs { dh-groupl | dh-group2| | Diffie-Hellman 组。 
dh-groups | dh-groupl4 | dh- ;也 一 | HS 、 
i e ee 多 选 一 选项 ， 表 示 协 商 时 采用 2048-bit 的 
group21 } Diffie-Hellman 组 。 日 ‘8 
例如 : [Huawei-ipsec-profile- 。 dh-group20: 多 选 一 选项 ， 表 示 协 商 时 采用 384-bit ECP 
profilel] dh-group2 的 Diffie-Hellman 组。 
e。 dh-group20: 多 选 一 选项 ， 表 示 协 商 时 采用 521-bit ECP 
的 Diffie-Hellman 组 。 
如 果 本 端 指定 了 PFS,， 对 端 在 发 起 协商 时 必须 是 PFS 交换 。 
且 要 求 本 端 和 对 端 指定 的 DH 组 必须 一 致 ， 否 则 协商 会 失败 。 
缺 省 情况 下 ， 安 全 框架 发 起 协商 时 没有 使 用 PFS 特性 ， 可 
用 undo pfs 命令 取消 PFS 特性 配置 


quit 


0 例如 : [Huawei-ipsec-profile- 返回 系统 视图 
profilel] quit 








interface tunnel interface- 
number 












" 例如 : [Huawei] interface 进入 mGRE Tunnel 接口 视图 
tunnel 0/0/1 
在 以 上 mGRE Tunnrl 接口 上 应 用 配置 的 IPSec 安全 框架 。 
【注意 】 一 个 Tunnel 接口 下 只 能 应 用 一 个 IPSec 安全 框架 ， 
ieee profiie profle name Tae 另 外 的 IPSec 安全 框架 ， 必须 pe es 
8 例如 : [Huawei-Tunnel0/0/1] profile 命令 取消 接口 上 已 应 用 的 IPSec 安全 框架 。 同 一 1 


IPSec 安全 框架 只 能 应 用 在 一 个 Tunnel 接口 下 , 如 果 要 应 用 在 
其 他 接口 下 ， 必 须 先 在 该 接口 下 取消 应 用 该 IPSec 安全 框架 。 

缺 省 情况 下 ， 接 口上 没有 应 用 IPSec 安全 框架 ， 可 用 undo ipsec 
profile 命 令 取 消 在 以 上 mGRE Tunnel 接 口上 应 用 IPSec 安全 框架 


ipsec profile profilel 


7.3.6 ”DSVPN 维护 与 管理 命令 


已 完成 DSVPN 的 所 有 配置 后 可 在 任意 视图 下 执行 以 下 配置 管理 命令 。 
。 display nhrp peer: 但 看 本 地 设备 上 生成 的 NHRP peer 表 人 信息。 
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。 display nhrp peer maximum-history: 查看 NHRP peer 表 项 历史 统计 信息 。 

e display ipsec profile [ brief | name profile-name ]: 查看 IPSec 框架 配置 信息 。 

。 display ipsec sa profile profile-name: 查看 当前 安全 联盟 的 相关 信息 。 

e display nhrp statistics interface tunnel interface-number: 显示 NHRP 统计 信息 。 

在 DSVPN 运行 的 过 程 中 可 在 用 户 视 图 下 根据 需要 执行 以 下 维护 命令 。 

e reset nhrp statistics interface tunnel interface-number: 删除 mGRE Tunnel 接口 下 
的 NHRP 报 文 统计 信息 。 

e reset nhrp peer maximum-history: 清除 NHRP peer 表 项 历史 统计 信息 。 


7.4 典型 配置 示例 


通过 前 面 的 学 习 我 们 已 经 知道 , DSVPN 有 两 种 部 署 方式 : 非 shortcut 场景 和 shortcut 
场景 ， 另 外 还 文 持 多 种 子 网 路 由 配置 方式 ， 文 持 IPSec、 双 Hub、NAT 穿越 等 特性 ， 使 
得 DSVPN 的 部 署 看 似 复 杂 许 多 。 其 实 DSVPN 本 身 的 配置 并 不 复杂 ， 只 是 它 适 用 性 比 
较 广 ， 而 不 能 场景 下 应 用 的 配置 中 又 有 些小 不 同 。 本 节 将 介绍 更 多 的 不 同 场景 下 的 应 用 
配置 案例 ， 以 帮助 大 家 消化 、 巩 固 前 面 所 介绍 的 DSVPN 各 方面 的 技术 原理 和 具体 的 配 
置 与 管理 方法 。 从 这 些 配 置 示例 中 大 家 会 发 现 ， 其 实 它 们 的 配置 中 绝 大 部 分 是 相同 或 相 
似 的 ， 只 存在 一 些小 部 分 的 差别 。 


7.4.1 非 shortcut 场景 DSVPN ( 静态 路 由 ) 配置 示例 | 


如 图 7-19 所 示 ， 某 中 小 企业 有 总 部 (Hub) 和 两 个 分 支 (Spokel 和 Spoke2)， 分 布 
在 不 同 地 域 ， 总 部 采用 专线 方式 接 入 公 网 ， 分 文采 用 动态 地 址 接 入 公 网 ， 且 所 连 子 网 比 
较 稳 定 〈 很 少 发 生 网 段 变 化 )。 现 在 用 户 希 望 在 实现 分 支 与 公司 总 部 之 间 VPN 互联 的 同 
时 能 够 实现 分 文 之 间 的 VPN 互联 。 


” 分支 1 子 网 所 Tunnel0/0/0 
“~、 192.168.1.0/24 


A 172.16.1.2/24 

”GE1/0/0 

| 202.1.2.10/24 
下 














PO LoopBack0 
~ 
LoopBack0 “~、 192.168.0.1/24 
192.168.1.1/24 、N GE1/0/0 






入 
入 


202.1.1.10/24 


总 部 子 网 
Tunnel0/0/0 Sb 192.168.0.0/24 


LoopBack0 a 172.16.1.1/24 
192.168.2.1/24 pt Hub 


” 
Spoke 2 i 


me FR GE1/0/0 
DD CR> 202.1.3.10/24 


f 分 支 ? 子 网 \ Tunnel0/0/0 
se fe 172.16.1.3/24 
We 


7-19” 非 shortcut 场景 DSVPN (静态 路 由 ) 配置 示例 的 拓扑 结构 


Internet ， 


a 
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1 “图 中 的 各 Loopback 接口 代表 对 应 端 所 连接 的 子 网 ， 主 要 用 于 最 终 验 证 Hub 和 各 
Spoke 所 连接 的 子 网 能 相互 ping 通 。 以 后 各 节 的 配置 示例 同 理 。 


1. 基本 配置 思路 分 析 

由 于 分 文 是 有 来 用 动态 地 址 接 入 公 网 的 ,分 文 之 间 互 相 不 知道 对 方 的 公 网 IP 地 址 ， 
此 必须 采用 DSVPN 来 实现 分 支 之 间 的 VPN 互联 。 但 由 于 分 支 数 量 较 少 ， 因 此 采用 非 
shortcut 场景 的 DSVPN， 配 置 更 简单 。 另 外 ， 由 于 分 文 和 总 部 的 子 网 环境 稳定 ， 为 减少 
配置 ， 简 化 维护 ， 可 以 通过 部 灵 静 态 路 由 来 实现 分 文 /总 部 间 的 通信 。 

下 面 是 根据 7.3.1 市 介绍 的 配置 任务 ， 再 结合 本 示例 实际 得 出 的 基本 配置 思路 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 I 了 PP 地址 。 

【经 验 提示 】〗 这 里 之 所 以 要 先 创建 各 设备 上 的 mGRE Tunnel 接口 ， 并 为 之 配置 IP 地 
址 , 那 是 因为 后 面 在 配置 到 达 对 端子 网 的 静态 路 由 时 要 以 这 些 mGRE Tunnel 接口 为 出 接 
口 。 但 mGRE Tunnel 接口 的 其 他 配置 ， 包括 NHRP 协议 配置 要 放 在 最 后 ,因为 只 有 前 面 
的 配置 《包括 到 达 对 端子 网 的 静态 路 由 ) 完成 后 才能 成 功 进行 NHRP 解析 。 后 面 各 予 的 
配置 示例 同 理 。 

(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 

Hub 与 Spoke 间 的 公 网 路 由 互通 是 各 端 建 立 VPN 的 基础 和 前 提 ， 因 为 这 些 VPN 通 
信 都 是 基于 公 网 进行 的 。 因 为 各 分 文采 用 动态 IP 地 址 接 入 公 网 ， 所 以 最 好 采用 动态 路 由 
协议 , 大 多 数 情况 下 是 采用 无 环 路 、 配 置 简 便 的 IGP 类 型 动态 路 由 协议 OSPF 进行 配置 。 
当然 ， 此 时 Spoke 上 的 公 网 卫 地 址 也 仅 是 当前 的 ， 如 果 发 生 了 变化 ， 则 要 修改 配置 。 

(3) 在 子 网 路 由 的 配置 方面 ，DSVPN 也 文 持 包 括 静 态 路 由 、RIP、OSPF、BGP 动 
态 路 由 协议 。 本 示例 中 因为 各 子 网 比较 稳定 ， 可 以 使 用 简 为 简便 的 静态 路 由 配置 方式 ， 
配置 各 设备 从 本 端 到 达 对 端子 网 的 静态 路 由 , 下 一 跳 均 为 对 端 设 备 的 mGRE Tunnel 接口 
IP 地 址 。 

(4) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

这 是 DSVPN 配置 的 关键 ， 主 要 是 围绕 各 端的 mGRE Tunnel 接口 进行 的 。 但 本 示例 
采用 的 是 非 shortcut 场景 , 可 仅 配 置 7.3.2 节 和 7.3.4 节 中 那些 在 非 shortcut 场景 中 的 必 选 
配置 。 

2. 具体 配置 步骤 

(1) 配置 各 设备 的 各 接口 (包括 Tunnel 接口 ) IP 地 址 。 

# Hub 上 的 配置 。 


<Huawel> system-view 

[Huaweil] sysname Hub 

[Hub| interface gigabitethernet 1/0/0 
[Hub-GigabitEthernet1/0/0] ip address 202.1.1.10 255.255.255.0 
[Hub-GigabitEthernet1/0/0] quit 

[Hub] interface loopback 0 

[Hub-LoopBack0] ip address 192.168.0.1 255.255.255.0 
[Hub-LoopBack0] quit 

[Hub| interface tunnel 0/0/0 
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[Hub-Tunnel0/0/0] ip address 172.16.1.1 255.255.255.0 ”#--- 配 置 本 地 mGRE Tunnel 接口 IP 地 址 , 通常 整个 DSVPN 网 
络 中 的 所 有 mGRE Tunnel 接口 IP 地 址 都 在 同一 IP 网 段 
[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


<Huawel> system-view 

[Huawel] sysname Spokel 

[Spokel | interface gigabitethernet 1/0/0 
[Spokel-GigabitEthernet1/0/0|] ip address 202.1.2.10 255.255.255.0 
[Spokel-GigabitEthernetl/0/0| quit 

[Spokel] interface loopback 0 

[Spoke1-LoopBack0] ip address 192.168.1.1 255.255.255.0 
[Spokel-LoopBack0] quit 

[Spokel] interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0| ip address 172.10.1.2 255.255.255.0 
[Spokel-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


<Huawel> system-view 

[Huaweil sysname Spoke2 

[Spoke2| interface gigabitethernet 1/0/0 
[Spoke2-GigabitEthernet1/0/0|] ip address 202.1.3.10 255.255.255.0 
[Spoke2-GigabitEthernet1/0/0] quit 

[Spoke2] interface loopback 0 

[Spoke2-LoopBack0] ip address 192.168.2.1 255.255.255.0 
[Spokel-LoopBack0] quit 

[Spoke2] interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0| ip address 172.16.1.3 255.255.255.0 
[Spoke2-Tunnel0/0/0] quit 


(2) 配置 各 设备 之 间 公 网 路 由 。 

此 处 采用 OSPF 路 由 协议 ， 进 程 号 假设 为 2， 区 域 ID 号 假设 为 1 〈 单 区 域 的 OSPF 
网 络 , 区 域 ID 可 以 任意 ), 且 三 台 设 备 上 配置 的 OSPF 进程 和 区 域 ID 号 必须 一 致 。Spoke 
上 的 公 网 IP 地 址 为 ISP 当前 分 配 的 卫 地址， 如 在 以 后 发 生 改 变 时 要 重新 配置 。 

# Hub 上 的 配置 。 

[Hub] ospf 2 

[Hub-ospf-2] area 0.0.0.1 

[Hub-ospf-2-area-0.0.0.1] network 202.1.1.0 0.0.0.255 #--- 通 告 Hub 公 网 接口 所 对 应 IP 网 段 

[Hub-ospf-2-area-0.0.0.1] quit 

[Hub-ospf-2] quit 

# Spokel 上 的 配置 。 

[Spokel1] ospf 2 

[Spokel-ospf-2] area 0.0.0.1 

[Spoke1-ospf-2-area-0.0.0.1] network 202.1.2.0 0.0.0.255 #--- 通 告 Spokel 公 网 接口 所 对 应 IP 网 段 

[Spokel-ospf-2-area-0.0.0.1] quit 

[Spokel1-ospf-2] quit 


# Spoke2 上 的 配置 。 

[Spoke2] ospf 2 

[Spoke2-ospf-2] area 0.0.0.1 

[Spoke2-ospf-2-area-0.0.0.1] network 202.1.3.0 0.0.0.255 #--- 通 告 Spoke2 公 网 接口 所 对 应 IP 网 段 
[Spoke2-ospf-2-area-0.0.0.1] quit 

[Spoke2-ospf-2] quit 


(3) 配置 到 达 对 端子 网 的 静态 路 由 ,下 一 跳 为 对 端 设备 配置 的 mGRE Tunnel 接口 IP 
地 址 。 
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# Hub 上 的 配置 。 
[Hub] ip route-static 192.168.1.0 255.255.255.0 172.16.1.2 #--- 到 达 Spokel 子 网 的 静态 路 由 
[Hub] ip route-static 192.168.2.0 255.255.255.0 172.16.1.3 ”#--- 到 达 Spoke2 子 网 的 静态 路 由 


# Spokel 上 的 配置 。 


[Spokel] ip route-static 192.168.0.0 255.255.255.0 172.16.1.1 #-- 到 达 Hub 子 网 的 静态 路 由 
[Spokel1] ip route-static 192.168.2.0 255.255.255.0 172.16.1.3 #--- 到 达 Spoke2 子 网 的 静态 路 由 


# Spoke2 上 的 配置 。 


[Spoke2] ip route-static 192.168.0.0 255.255.255.0 172.16.1.1 #--- 到 达 Hub 子 网 的 静态 路 由 
[Spoke2] ip route-static 192.168.1.0 255.255.255.0 172.16.1.2 #--- 到 达 Spokel 子 网 的 静态 路 由 


(4) 配置 各 设备 的 mGRE Tunnel 接口 和 NHRP 协议 。 

在 Hub 和 Spoke 上 配置 mGRE Tunnel 接 口 在 非 shortcut 场 景 下 必 选 属性 ,包括 mGRE 
封 疾 、 隧 道 源 IP 地 址 或 源 接口 。 男 外 在 Hub 的 mGRE Tunnel 接口 上 要 使 能 接收 Spoke 
的 NHRP 动态 注册 功能 ， 在 Spokel 和 Spoke2 的 mGRE Tunnel 接口 上 分 别 配置 Hub 的 
静态 NHRP peer 表 项 。 

# Hub 上 的 配置 。 


[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp #--- 配 置 以 上 Tunnel 接口 为 mGRE 封装 
[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0”#--- 指 定 隧道 源 接口 为 公 网 接口 
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic #--- 人 允许 Spoke 在 Hub 上 进行 动态 注册 
[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


[Spokelj interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register #--- 在 Spokel 上 静态 配置 Hub 的 NHRP peer 表 项 , 同 
时 向 Hub 发 起 NHRP 注册 请 求 

[Spokel-Tunnel0/0/0] quit 


# ”Spoke2 上 的 配置 。 


[Spoke2| interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] quit 


3. 实验 结果 验证 

配置 完成 后 ， 可 以 进行 一 系列 的 配置 结果 验证 工作 了 。 

(1) 验证 各 设备 上 的 NHRP peer 表 项 。 

# 在 Hub 上 执行 display nhrp peer all 命令 ， 奏 看 Hub 上 的 NHRP peer 表 项 。 

此 时 会 发 现 Hub 上 已 有 两 Spoke 的 NHRP peer 表 项 (参见 输出 信息 中 的 粗 体 字 部 
分 )， 因 为 在 前 面 两 Spoke 的 Tunnel 接口 的 配置 中 就 已 加 了 “register” 选 项 ， 局 动 了 
Spoke 向 Hub 进行 NHRP peer 动态 注册 流程 。 

[Hub] display nhrp peer all 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 





172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
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Created time : 00:02:02 


Expire time : 01:57:58 
Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time 9000 
Expire time :01:59:35 


Number of nhrp peers: 2 
分 别 在 两 Spoke 上 执行 display nhrp peer all 命令 得 看 它们 的 NHRP peer 表 项 。 


ni Hub 静态 配置 的 NHRP peer 表 项 ， 而 没有 了 预期 中 的 对 妆 
Spoke 的 NHRP peer 表 项 。 但 不 要 着 急 ， 那 不 是 我 们 配置 的 错 ， 那 是 因为 还 没有 流量 触 
发 两 Spoke 通过 NHRP 解析 功能 相互 学 习 对 方 的 公 网 IP 地 址 ， 参 见 7.2.3 节 中 介绍 的 非 
shortcut 场景 下 的 DSVPN 工作 原理 中 的 第 (4) 步 说 明 。 


[Spokel] display nhrp peer al 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 -一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 -一 一 一 一 一 -一 一 


172.16.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 00:10:58 
Expire time : -- 


Number of nhrp peers: 1 


[Spoke2] display nhrp peer al 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 00:07:55 
Expire time : -- 


Number of nhrp peers: 1 





下 面 对 执行 “display nhrp peer all 命令 后 输出 信息 中 的 几 个 重要 字段 进行 说 明 。 

e Protocol-addr: 表示 NHRP peer 子 网 地 址 ( 仅 在 shortcut 场景 中 有 ) 或 NHRP peer 
的 Tunnel 接口 地 址 。 

。 Type: 表示 NHRP peer 表 项 的 类 型 : dynamic 表示 NHRP peer 表 项 为 设备 动态 生 
成 ; static 表示 NHRP peer 表 项 为 管理 员 静 态 配 置 。 

e Flag: 表示 peer 的 类 型 : hub 表示 peer 为 Hub 设备 地 址 信息 ; local 表示 peer 为 
本 地 子 网 地 址 信息 ; route tunnel 表示 peer 为 远 端 Tunnel 接口 地 址 信息 ; route network 
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表示 Deer eA 息 ， 在 shortcut 场景 中 ， 当 分 支 只 存在 到 总 部 的 汇聚 路 由 时 ， 
源 分 支 可 以 动态 学 习 到 目的 分 支 子 网 的 地 址 信息 。 


(2) 验证 各 设备 到 达 其 他 子 网 的 静态 路 由 。 

可 通过 执行 display ip routing-table protocol static 命令 检查 各 设备 上 配置 的 静态 路 
由 信息 ， 看 是 否 有 到达 其 他 两 端子 网 的 静态 路 由 。 

# 在 Hub 上 执行 display ip routing-table protocol static 命令 ， 结 果 发 现 有 分 别 到 达 
Spokel 和 Spoke2 子 网 的 两 条 静态 路 由 ， 下 一 跳 也 正 是 对 应 Spoke 的 mGRE Tunnel 接口 
IP 地 址 《参见 输出 信息 中 的 粗 体 字 部 分 )。 证 明 Hub 上 已 正确 配置 了 到 达 两 Spoke 子 网 
的 静态 路 由 。 


[Hub] display ip routing-table protocol static 
Route Flags: R - relay, D - download to fib 


Public routing table : Static 
Destinations : 2 Routes : 2 Configured Routes : 2 





Static routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre (Cost Flags NextHop Interface 
192.168.1.0/24 Static 60 0 RD 172.16.1.2 Tunnel0/0/0 
192.168.2.0/24 Static 60 0 RD 172.16.1.3 Tunnel0/0/0 


Static routing table status : <Inactive> 
Destinations : 0 Routes :0 


# 分 别 在 Spokel、Spoke2 上 执行 display ip routing-table protocol static 命令 ， 发 现 
也 有 正确 的 到 达 Hub 子 网 和 男 一 个 Spoke 子 网 的 两 条 静态 路 由 ， 下 一 跳 IP 地 址 为 对 端 
的 mGRE Tunnel 接口 的 了 PP 地址 (参见 输出 信息 中 的 粗 体 凶 部 分 )。 


[Spokel] display ip routing-table protocol static 
Route Flags: R - relay, D - download to fib 


Public routing table : Static 
Destinations : 2 Ronutes : 2 Configured Routes : 2 


Static routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto “Pre Cost Flags NextHop Interface 
192.168.0.0/24 Static 60 0 RD 172.16.1.1 Tunnel0/0/0 
192.168.2.0/24 Static 60 0 RD 172.16.1.3 Tunnel0/0/0 


Static routing table status : <Inactive> 
Destinations : 0 Routes:0 


[Spoke2] display ip routing-table protoco! static 
Route Flags: R - relay, D - download to fib 


Public routing table : Static 
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Destinations : 2 Routes : 2 Configured Routes : 2 


Static routing table status : <Active> 


Destinations : 2 Routes : 2 
Destination/Mask Proto Pre Cost Flags NextHop Interface 
192.168.0.0/24 Static 60 0 RD 172.16.1.1 Tunnel0/0/0 
192.168.1.0/24 Static 60 0 RD 172.16.1.2 Tunnel0/0/0 


Static routing table status : <Inactive> 
Destinations : 0 Routes :0 


从 以 上 可 以 看 出 ， 三 台 设 备 上 均 配 置 好 了 到 达 另 外 两 端子 网 的 静态 路 由 。 

(3) 执行 从 一 个 Spoke ping 男 一 个 Spoke 子 网 〈 卫 地 址 为 Loopback 接口 IP 地 址 ) 
操作 〈 此 时 已 可 以 通 了 )， 以 流量 来 触发 Spoke 间 相 互 学 习 对 端的 公 网 IP 地 址 ， 以 动态 
生成 对 问 的 NHRP peer 表 项 。 

然后 再 在 Spokel 和 Spoke2 上 分 别 display nhrp peer all 命令 , 便 可 发 现 相 比 前 面 多 
了 两 条 NHRP peer 表 项 ， 其 中 一 条 是 动态 学 习 到 的 对 端 Spoke 的 ， 另 一 条 是 目 己 通过 
NHRP 协议 动态 学 习 到 的 本 地 子 网 NHRP peer 表 项 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel] display nhrp peer al 


一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.1 32 20714110 172.161.! static hub 


一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:46:35 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:28 


Expire time : 01:59:32 
Protocol-addr ”Mask NBMA-addr NextHop-addr Type ” lag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:28 
Expire time : 01:59:32 


Number of nhrp peers: 3 


[Spoke2| display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.! 32 202.1.1.10 172.106.1.! static hub 
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Tunnel Interface: Tunnel0/0/0 
Created time 0332 
Expire time . 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


ee ee 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:47 


Expire time :01:59:13 
Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 
172;,10.L3 32 202.1.3.10 172.16.1.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:47 
Expire time : 01:59:13 


Number of nhrp peers: 3 
由 以 上 可 看 出 ，Spoke1、Spoke2 与 Hub 之 间 ，Spokel 和 Spoke2 之 间 均 已 成 功 注 册 
了 彼此 的 NHRP peer 表 项 ， 这 样 它们 之 间 就 可 以 彼此 建立 VPN 通信 了 。 


7.4.2 非 shortcut 场景 DSVPN (CRIP 协议 ) 配置 示例 


如 图 7-20 所 示 ， 革 中 小 企业 有 总 部 (Hub) 和 两 个 分 支 (Spokel 和 Spoke2)， 分 布 
在 不 同 地 域 ， 而 且 分 支 的 子 网 环境 会 经 常 出 现 变动 。 总 部 采用 专线 方式 接 入 公 网 ， 分 文 
采用 动态 地 址 接 入 公 网 。 企 业 规划 使 用 RIP 路 由 协议 ， 希 望 能 够 在 实现 分 支 与 总 部 之 间 
的 VPN 互联 的 同时 ， 分 支 之 间 也 能 建立 VPN 互联 。 





分 支 1 子 网 Tunnel0/0/0 
192.168.1.024 /117161204 


个 GE1/0/0 
| 202.1.2.10/24 











Spoke 1 -要 | LoopBack0 
mw 
ToobBack0 192.168.0.1/24 
192.168.1.1/24 GE1/0/0 
202.1.1.10/24 
Internet 部 了 网 
Tunnel0/0/0 192.168.0.0/24 

172.16.1.1/24 

LoopBack0 i Hub 


192.168.2.1/24 
” 


po 








Spoke 2 i 


分 支 2 子 网 
192.168.2.0/24 


7-20” 非 shortcut 场景 DSVPN (RIP 协议 ) 配置 示例 的 拓扑 结构 





GE1/0/0 
202.1.3.10/24 


Tunnel0/0/0 
172.16 1 3/24 
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1. 基本 配置 思路 分 析 

由 于 分 支 是 采用 动态 地 址 接 入 公 网 的 ， 分 支 之 间 互 相 不 知道 对 方 的 公 网 地 址 ， 因 此 
必须 采用 DSVPN 来 实现 分 支 之 间 的 VPN 互联 。 而 且 由 于 分 支 数量 较 少 ， 因 此 采用 非 
shortcut 场景 的 DSVPN。 但 由 于 分 支 和 总 部 的 子 网 环境 经 常 出 现 变动 ， 为 简化 维护 ， 并 
根据 企业 网 络 规划 选择 部 署 RIP 路 由 协议 来 实现 分 支 /总 部 间 的 通信 。 

本 示例 与 7.4.1 节 介 绍 的 示例 都 是 采用 非 shortcut 场景 来 部 署 , 但 区 别 在 于 由 于 分 文 
和 总 部 的 子 网 环境 经 常 出 现 变动 , 在 子 网 间 路 由 学 习 方 面 更 适宜 采用 动态 路 由 配置 方式 。 
但 要 注意 的 是 ， 如 果 公 网 路 由 与 子 网 路 由 都 采用 相同 动态 路 由 协议 来 配置 时 ， 一 定 不 能 
使 用 相同 的 路 由 进程 。 

在 配置 思路 方面 ， 总 体 上 是 与 7.4.1 节 介 绍 的 配置 示例 的 配置 思路 一 样 ， 只 是 在 子 
网 路 由 配置 方面 有 所 区 别 。 本 示例 的 基本 配置 思路 如 下 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 卫 地 址 。 

(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 

(3) 采用 RIP 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 
RIP 协议 版 本 为 RIP-2。 但 此 时 在 非 shortcut 场景 下 ， 要 在 总 部 Hub 的 mGRE Tunnel 接 
口上 关闭 水 平分 割 和 目 动 路 由 聚合 功能 ， 原 因 已 在 7.3.3 节 作 了 分 析 。 

(4) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

2. 具体 配 置 步 又 

因为 本 示例 中 各 设备 接口 的 IP 地 址 及 基本 拓扑 结构 与 7.4.1 节 介 绍 的 配置 示例 完全 
一 样 ， 故 本 示例 中 的 第 (1)、(2) 项 配置 任务 的 具体 配置 与 上 市 示例 的 配置 完全 一 样 ， 
参见 即 可 。 下 面 仅 介绍 第 (3)、(4) 项 配置 任务 的 具体 配置 方法 。 

(3) 配置 各 子 网 的 RIP 路 由 。 

本 示例 采用 缺 省 的 RIP 路 由 进程 1，RIP-2 版 本 ,关闭 自动 路 由 聚合 功能 ， 以 自然 网 
段 通告 各 子 网 路 由 。 因 为 在 NBMA 网 络 中 ， 缺 省 关闭 了 水 平分 割 功能 ， 所 以 此 处 无 需 另 
外 配置 。 注 意 : RIP 协议 的 路 由 通告 都 是 以 对 应 的 自然 网 段 进 行 的 。 

# Hub 上 的 配置 。 

[Hub] rip 1 

[Hub-rip-1] version 2 

[Hub-rip-1] undo summary  #-- 关 闭 上 自动 路 由 聚合 功能 ， 非 shortcut 场景 下 必须 关闭 

[Hub-rip-1] network 172.16.0.0 #--- 以 自然 网 段 通告 本 地 mGRE Tunnel 接口 所 在 网 段 


[Hub-rip-1] network 192.168.0.0”#--- 以 自然 网 段 通 告 本 地 子 网 ， 如 果 Spoke 无 需 访 问 Hub 子 网 时 不 用 配置 
[Hub-rip-1|] quit 

# Spokel 上 的 配置 。 
[Spokel| rip ! 

[Spokel1-rip-1] version 2 
[Spokel-rip-1] network 172.16.0.0 
[Spoke1-rip-1] network 192.168.1.0 
[Spokel-rip-1] quit 

# Spoke2 上 的 配置 。 
[Spoke2] rip 1 

[Spokc2-rip-1] version 2 
[Spoke2-rip-1] network 172.16.0.0 
[Spoke2-rip-1] network 192.168.2.0 
[Spoke2-rip-1] quit 
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本 示例 每 个 分 支 只 给 出 一 个 分 支 子 网 的 配置 ， 如 果子 网 环境 发 生变 化 (如 有 多 个 
子 网 ) ， 则 只 需 在 本 地 设备 配置 相应 的 动态 路 由 属性 即 可 。 后 面 各 节 配 置 示例 同 理 。 


(4) 配置 各 设备 的 mGRE Tunnel 接口 和 NHRP 协议 。 

在 Hub 和 Spoke 上 配置 mGRE Tunnel 接口 ， 包 括 mGRE 封装 、 隧 道 源 IP 地 址 或 源 
接口 。 另 外 在 Hub 上 使 能 接收 Spoke 的 NHRP 动态 注册 功能 , 在 Spokel 和 Spoke2 上 分 
列 配 置 Hub 的 静态 NHRP peer 表 项 。 

# Hub 上 的 配置 。 


[Hubj interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0”#--- 指 定 隧道 源 接口 为 公 网 接口 
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic #--- 允 许 Spoke 在 Hub 上 进行 动态 注册 
[Hub-Tunnel0/0/0] undo rip split-horizon ”#--- 关 闭 水 平分 割 功能 

[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 

[Spokel] interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Spoke1-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register #-- 在 Spokel 上 静态 配置 Hub 的 NHRP peer 表 项 , 同 
时 启动 各 Hub 发 起 NHRP 动态 注册 

[Spokel-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


[Spoke2| interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0|] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] quit 


3. 配置 结果 验证 

配置 完成 后 ， 可 以 进行 一 系列 的 配置 结果 验证 工作 了 。 

(1) 验证 各 设备 上 的 NHRP peer 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 ， 则 会 发 现 Hub 上 已 有 Spokel 和 Spoke2 
的 NHRP peer 表 项 注册 信息 了 (参见 输出 信息 中 的 粗 体 凶 部 分 )， 表明 Spokel 和 Spoke2 
已 成 功 在 Hub 上 动态 注册 了 它们 自己 的 NHRP peer 表 项 了 。 因 为 在 前 面 两 Spoke 的 Tunnel 
接口 的 配置 中 就 已 加 了 “register” 选 项， 局 动 了 Spoke 回 Hub 进行 NHRP peer 动态 注 

[Hub] display nhrp peer all 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.3 32 202.1.3.10 172.10.13 dynamic route tunnel 
Tunnel interface: Tunnel0/0/0 

Created time : 00:46:33 

Expire time : 01:43:27 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
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172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:46:17 
Expire time : 01:43:43 


Number of nhrp peers: 2 
# 在 Spoke 上 执行 display nhrp peer all 命令 ， 发 现 Spoke 上 均 只 能 看 到 本 地 议 态 
配置 的 Hub NHRP peer 表 项 ， 而 没有 看 到 其 他 Spoke 的 NHRP peer 表 项 ， 也 是 因为 还 没 


有 流量 触发 这 些 Spoke 通过 NHRP 解析 功能 学 习 其 他 Spoke 的 NHRP peer 表 项 。 
[Spokel | display nhrp peer al 


Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 


] /2.10.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time 17:41:26 
Expire time : -- 


Number of nhrp peers: | 


[Spoke2| display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


1]72.161.! 32 202.1.1.10 172.106.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time ， 1/127.43 
Expire time : -- 


Number of nhrp peers: I 

(2) 验证 各 设备 到 达 其 他 各 端子 网 的 RIP 路 由 。 

# 在 Hub 上 执行 display rip 1 route 命令 , 结果 会 发 现 有 分 别 到 达 Spokel 和 Spoke2 
所 连 子 网 的 RIP 路 由 表 项 ， 下 一 跳 均 为 对 端的 mGRE Tunnel 接口 卫 地址 ， 表 明 Hub 已 
通过 RIP 协议 正确 学 习 到 两 Spoke 所 连 子 网 的 路 由 。 其 中 的 peer 代表 其 下 面 的 路 由 是 通 
过 该 peer 设备 的 mGRE Tunnel 接口 学 习 到 的 。 

[Hub] display rip 1 route 

Route Flags : R - RIP 
A -Aging, G -Garbage-collect 


CCT 一 


Peer 172.16.1.2 on Tunnel0/0/0 


Destination/Mask Nexthop Cost Tag Flags Sec 

192.168.1.1/32 172.16.1.2 1 0 RA 33 
Peer 172.16.1.3 on Tunnel0/0/0 

Destination/Mask Nexthop Cost Tag Flags Seéc 

192.168.2.1/32 172.16.1.3 1 0 RA 7 


# 分 别 在 Spokel 和 Spokel 上 执行 display rip 1 route 命令 的 RIP 路 由 信息 输出 , 均 
学 习 到 其 他 两 端子 网 的 RIP 路 由 ， 且 都 是 通过 Hub 学 习 到 的 ， 因 为 路 由 中 显示 的 peer 
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为 Hub 的 mGRE Tunnel 接口 。 


[Spokel] display rip 1 route 
Route Flags : R - RIP 
A -Aging, G - Garbage-collect 


Peer 172.16.1.1 on Tunnel0/0/0 


Destination/Mask Nexthop Cost Tag Flags. Sec 

192.168.0.1/32 172.16011 1 0 RA 33 
Peer 172.16.1.1 on Tunnel0/0/0 

Destination/Mask Nexthop Cost Tag Flags ~ Sec 

192.168.2.1/32 172.16.1.3 2 0 RA 15 


[Spoke2| display rip 1 route 
Route Flags : R - RIP 
A -Aging, G -Garbage-collect 


Peer 172.16.1.1 on Tunnel0/0/0 


Destination/Mask Nexthop Cost Tag Flags Sec 

192.168.0.1/32 172.16.1.1 1 0 RA 33 
Peer 172.16.1.1 on Tunnel0/0/0 

Destination/Mask Nexthop Cost Tag Flags Sec 

192.168.1.1/32 172.16.1.2 2 0 RA 21 


(3) 执行 从 一 个 Spoke ping 男 一 个 Spoke 子 网 (IP 地 址 为 Loopback 接口 IP 地 址 ) 
操作 , 以 流量 来 触发 Spoke 间 相 互 学 习 对 问 的 公 网 卫 地址 , 以 动态 生成 对 端的 NHRP peer 
表 项 。 

然后 再 在 Spokel 和 Spoke2 上 分 别 display nhrp peer all 命令 , 便 可 发 现 相 比 前 面 多 
了 两 条 NHRP peer 表 项 ， 其 中 一 条 是 动态 学 习 到 的 对 端 Spoke 的 ， 另 一 条 是 自己 通过 
NHRP 协议 动态 学 习 到 的 本 地 NHRP peer 表 项 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel| display nhrp peer all 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


1 7 0 .1 32 202.1.1.10 ,过 10. 1 Static hub 


Tunnel interface: Tunnel0/0/0 
Created time :8:52:27 
Expire time : -- 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 


Created time : 00:00:46 

Expire time : 01:59:14 

Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:46 
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Expire time : 01:59:14 
Number of nhrp peers: 3 


[Spoke2| display nhrp peer all 

Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.1 32 202.1.1.10 172.10.1.1 static hub 

Tunnel interface: Tunnel0/0/0 

Created time : 18:34:50 

Expire time 

Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 
Tunnel interface: Tunnel0/0/0 

Created time : 00:01:19 


Expire time : 01:58:41 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:01:19 
Expire time : 01:58:41 


Number of nhrp peers: 3 


7.4.3” 非 shortcut 场景 DSVPN ( OSPF 协议 ) 配置 示例 


401 


如 图 7-21 所 示 ， 某 中 小 企业 有 总 部 (Hub) 和 两 个 分 支 (Spokel 和 Spoke2)， 分 布 


1. 基本 配置 思路 分 析 


在 不 同 地 域 ,而 且 总 部 和 分 支 的 子 网 环境 会 经 常 出 现 变动 。 总 部 采用 专线 方式 接 入 公 网 ， 
分 文采 用 动态 地 址 接 入 公 网 。 企 业 规 划 使 用 OSPF 路 由 协议 ， 希 望 能 够 在 实现 分 支 与 总 
部 之 间 的 VPN 互联 的 同时 ， 分 支 之 间 也 能 建立 VPN 互联 。 


本 示例 与 上 一 示例 差不多 ， 不 同 的 只 是 这 里 要 采用 OSPF 协议 为 各 设备 上 mGRE 


(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 卫 地 址 。 


(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 


Tunnel 接口 网 段 和 所 连 子 网 网 段 进行 路 由 通告 。 但 要 注意 的 是 ， 如 果 公 网 路 由 也 是 采用 
OSPF 协议 来 配置 , 则 两 处 所 采用 的 OSPF 路 由 进程 号 不 能 一 样 。 另外 , 由 于 在 非 shortcut 
场景 下 ， 各 设备 的 路 由 都 需要 各 自 通告 ， 所 以 要 在 各 设备 上 配置 mGRE Tunnel 接口 为 
OSPF 广播 类 型 。 基 本 的 配置 思路 如 下 : 


(3) 采用 OSPF 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 


所 用 OSPF 路 由 进程 与 公 网 OSPF 路 由 进程 不 一 样 。 


(4) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 
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分 支 1 子 网 
192.168.1.0/24 





Tunnel0/0/0 
172.16.1.2/24 


> GE1/0/0 
202.1.2.10/24 





pone ls Se LoopBack0 
LoopBack0 192.168.0.1/24 
192.168.1.1/24 GE1/0/0 


202.1.1.10/24 





Internet > 总 部 子 网 
Tunnel0/0/0 192.168.0.0/24 
LoopBack0 172.16.1.1/24 
192.168.2.1/24 ~” Hub 
Spoke 2 a 四 
GE1/0/0 
202.1.3.10/24 
分 支 2 子 网 Tunnel0/0/0 
192 168 2 0/24 172.16.1.3/24 


图 7-21 非 shortcut 场景 DSVPN (OSPF 协议 ) 配置 示例 的 拓扑 结构 


2. 具体 配置 步骤 

因为 本 示例 中 各 设备 接口 的 IP 地 址 及 基本 拓扑 结构 与 7.4.1 市 介绍 的 配置 示例 完全 
一 样 , 故 本 示例 中 的 第 (1)、(2) 项 配置 任务 的 具体 配置 与 7.4.1 节 示 例 的 配置 完全 一 样 ， 
参见 即 可 。 下 面 仅 介绍 第 (3)、(4) 项 配置 任务 的 具体 配置 方法 。 

(3) 配置 各 子 网 的 OSPF 路 由 。 

由 于 前 面 在 配置 各 设备 公 网 OSPF 路 由 时 使 用 的 是 OSPF 2 进程 ， 所 以 此 处 不 能 使 
用 2 号 进行 了 。 至 于 区 域 ID 则 没 限制 (此 处 假设 为 区 域 0)。 另 外 ， 为 了 便于 OSPF 路 
由 的 管理 ， 我 们 把 各 设备 的 OSPF 路 由 器 ID 号 配置 为 各 设备 mGRE Tunnel 接口 的 IP 
地 址 。 

# Hub 上 的 配置 。 


[Hub] ospf 1 router-id 172.16.1.1 #--- 配 置 Hub 的 OSPF 路 由 器 ID 号 为 其 mGRE Tunnel 接口 IP 地 址 
[Hub-ospf-1] area 0.0.0.0 

[Hub-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 # -- 通 告 Hub mGRE Tunnel 接口 所 在 IP 网 段 
[Hub-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 #--- 通 告 Hub 子 网 网 段 
[Hub-ospf-1-area-0.0.0.0] quit 

[Hub-ospf-1|] quit 


# Spokel 上 的 配置 。 


[Spokel| ospf 1 router-id 172.16.1.2 

[Spokel-ospf-1] area 0.0.0.0 

[Spokel1-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 
[Spokel1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 
[Spokel-ospf-1-area-0.0.0.0] quit 

[Spokel1-ospf-1| quit 


# Spoke2 上 的 配置 。 


[Spokc2] ospf 1 router-id 172.16.1.3 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0|] network 172.16.1.0 0.0.0.235 
[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 
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[Spoke2-ospf-1-area-0.0.0.0] quit 

[Spoke2-ospf-1] quit 

(4) 配置 mGRE Tunnel 接口 和 NHRP 协议 。 

在 Hub 和 Spoke 上 配置 mGRE Tunnel 接口 , 包括 mGRE 封装 、 隧 道 源 他 地 址 或 源 
接口 ， 配 置 OSPF 网 络 类 型 为 broadcast， 以 实现 分 支 间 路 由 相互 学 习 ， 配 置 Hub 上 的 
mGRE Tunnel 接口 为 OSPF 广播 网 络 中 的 DR (DR 优先 级 值 最 高 )。 另 外 在 Hub 上 使 能 
接收 Spoke 的 NHRP 动态 注册 功能 , 在 Spokel 和 Spoke2 上 分 别 配置 Hub 的 静态 NHRP 
peer 表 项 。 

# Hub 上 的 配置 。 


[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Hub-Tunnel0/0/0] nhrp entry multicast dynamic 

[Hub-Tunnel0/0/0] ospf network-type broadcast #--- 配 置 Tunnel 接口 为 OPSF 广播 网 络 类 型 

[Hub-Tunnel0/0/0] ospf dr-priority 100 #-- 配 置 mGRE Tunnel 接口 的 DR 优先 值 为 100, 三 者 中 最 高 ,最终 使 其 成 为 
广播 OSPF 网 络 中 的 DR 

[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 

[Spokel] interface tunnel 0/0/0 
[Spoke1-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke1-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spokel-Tunnel0/0/0] ospf network-type broadcast 
[Spokel-Tunnel0/0/0] ospf dr-priority 0 

[Spoke1-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


[Spoke2] interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] ospf network-type broadcast 
[Spoke2-Tunnel0/0/0] ospf dr-priority 0 

[Spoke2-Tunnel0/0/0] quit 


3. 配置 结果 验证 

配置 完成 后 ， 可 以 进行 一 系列 的 配置 结果 验证 工作 了 。 

(1) 验证 各 设备 上 的 NHRP peer 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 , 则 会 发 现 Hub 上 已 有 Spokel 和 Spoke2 
的 NHRP peer 表 项 注册 信息 了 , 表明 Spokel 和 Spoke2 已 成 功 在 Hub 上 动态 注册 了 它们 
目 己 的 NHRP peer 表 项 了 。 因 为 我 们 在 前 面 两 Spoke 的 Tunnel 接口 的 配置 时 就 已 加 了 
“register” 选 项， 启动 了 Spoke 向 Hub 进行 NHRP peer 动态 注册 流程 。 


[Hub] display nhrp peer all 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.3 32 202.13.10 172.16.13 dynamic route tunnel 


CC 


Created time : 02:18:06 
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Expire time : 01:41:54 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Ce ee ee ee ee wm rn mn mn 


Tunnel interface: Tunnel0/0/0 
Created time - 02:17:50 
Expire time :01:42:10 


Number of nhrp peers: 2 
# 分 别 在 两 Spoke 上 执行 display nhrp peer all 命令 , 会 发 现 两 Spoke 上 均 只 能 看 到 


本 地 静态 配置 的 Hub NHRP peer 表 项 ， 而 没有 看 到 其 他 Spoke 的 NHRP peer 表 项 ， 这 也 
是 因为 还 没有 流量 触发 这 些 Spoke 通过 NHRP 解析 功能 学 习 其 他 Spoke 的 NHRP peer 表 


项 。 


[Spokel| display nhrp peer al 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


7 1 2 202.1.E.10 172.16.1.1 static hub 


Tunnel Interface: Tunnel0/0/0 


Created time : 19:19:15 
Expire time : -- 


Number of nhrp peers: 1 


[Spoke2] display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


Te ee ee ee ee oe ee oe ee oe ee ee ee eee ee te tee ee 


172.16.1.1 32 202.1.1.10 1712.16.1.! static hub 


Tunnel nterface: Tunnel0/0/0 
Created time : 19:01:39 
Expire time : -- 


Number of nhrp peers: 1 


(2) 验证 各 子 网 的 OSPF 路 由 信息 。 
# 在 Hub 上 执行 display ospf 1 routing 命令 ， 发 现 已 有 到 达 两 Spoke 所 连接 的 子 网 


的 明细 路 由 ， 各 GRE Tunnel 接口 所 在 子 网 路 由 都 一 样 ， 即 172.16.1.0/24 (参见 输出 信息 
中 的 粗 体 字 部 分 )。 


[Hub] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.1 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Arca 
172.16.1.0/24 1562 Transit 172.16.1.1 172.16.1.1 0.0.0.0 
192.168.0.1/32 0 Stub 172.16.1.1 172.16.1.1 0.0.0.0 


192.168.1.1/32 1562 Stub 172.16.1.2 172.16.1.2 0.0.0.0 
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192.168.2.1/32 1562 Stub 172.160.1.3 172.16.1.3 0.0.0.0 


Total Nets: 4 2 
Intra Area: 4 Inter Area:0 ASE:0 NSSA:0 


# 分 别 在 Spokel1、Spoke2 上 执行 display ospf 1 routing 命令 ， 发 现 已 有 到 达 Hub 
子 网 及 对 端 Spoke 子 网 的 明细 路 由 了 “参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel| display ospf 1 routing 





OSPF Process 1 with Router ID 172.16.1.2 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.0/24 1562 Transit 172.16.1.2 172.16)12 0.0.0.0 
192.168.0.1/32 1562 Stub 172.16.1.1 172.16.1.1 0.0.0.0 
192.168.1.1/32 0 Stub 192.168.1.1 172.16.1.2 0.0.0.0 
192.168.2.1/32 1562 Stub 172.16.1.3 172.16.1.3 0.0.0.0 
Total Nets: 4 


Intra Area: 4 Inter Area: 0 ASE:0 NSSA:0 
[Spoke2] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.3 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.0/24 1562 Transit 172.106.1.3 172.16.13 0.0.0.0 
192.168.0.1/32 1562 Stub 172.16.1.1 172.16.1.1 0.0.0.0 
192.168.2.1/32 0 Stub 192.168.2.1 172.16.1.3 0.0.0.0 
192.168.1.1/32 1562 Stub 172.16.1.2 172.16.1.2 0.0.0.0 
Total Nets: 4 


Intra Area: 4 Inter Area:0 ASE:0 NSSA:0 
(3) 执行 从 一 个 Spoke ping 男 一 个 Spoke 子 网 (IP 地址 为 Loopback 接口 IP 地址) 
操作 , 以 流量 来 触发 Spoke 间 相 互 学 习 对 端的 公 网 IP 地 址 , 以 动态 生成 对 端的 NHRP peer 
表 项 。 
然后 再 在 Spokel 和 Spoke2 上 分 别 display nhrp peer all 命令 , 便 可 发 现 相 比 前 面 多 
了 两 条 NHRP peer 表 项 ， 其 中 一 条 是 动态 学 习 到 的 对 端 Spoke 的 ， 另 一 条 是 自己 通过 
NHRP 协议 动态 学 习 到 的 本 地 NHRP peer 表 项 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel | display nhrp peer al 


ee ee ee ee ee oe ep ee ee 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172161.1! 32 202.1.1.10 1 /2.10.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 19:24:43 
Expire time : -- 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
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172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:33 


Expire time : 0159:27 
Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic local 


TT 一 TT 一 TT 一 TT 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:33 
Expire time 01:59:27 


Number of nhrp peers: 3 


[Spoke2] display nhrp peer all 


Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.1 32 202.1.1.10 172.16.1.| static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 19:07:00 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:01:01 


Expire time 01.538:59 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 2 202.1.3.10 172.16.1.3 dynamic local 


Tunnel Interface: Tunnel0/0/0 
Created time : 00:01:01 
Expire time :01:58:59 


Number of nhrp peers: 3 


7.4.4 非 shortcut 场景 DSVPN (BGP 协议 ) 配置 示例 | 


如 图 7-22 所 示 ， 某 中 小 企业 有 总 部 (Hub) 和 两 个 分 支 (Spokel 和 Spoke2)， 分 布 
在 不 同 地 域 并 所 属 不 同 AS 系统 ， 且 总 部 和 分 支 的 子 网 环境 会 经 常 出 现 变动 。 分 文采 用 
动态 地 址 接 入 公 网 。 企 业 现 规划 在 AS 域内 使 用 OSPF 路 由 协议 ，AS 域 间 使 用 EBGP 路 
由 协议 ， 希 望 能 够 在 实现 分 支 与 总 部 之 间 的 VPN 互联 的 同时 ， 分 支 之 间 也 能 建立 VPN 
me 
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图 7-22” 非 shortcut 场景 DSVPN (BGP 协议 ) 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

本 示例 的 基本 场景 与 7.4.1 节 、7.4.2 节 、7.4.3 节 所 介绍 的 配置 示例 其 实 是 一 样 的 ， 
不 同 的 只 是 由 于 Hub 和 两 个 Spoke 分 别 位 于 不 同 AS 系统 ,要 实现 VPN 互联 的 话 , 必须 
依靠 EBGP 协议 来 实现 AS 系统 间 的 路 由 互通 ,但 在 每 个 AS 系统 内 部 均 采 用 OSPF 协议 ， 
当然 不 能 与 公 网 路 由 中 所 采用 的 OSPF 路 由 进程 一 致 。 

这 里 的 关键 是 配置 EBGP 路 由 , 首先 要 确保 在 AS 系统 内 部 要 配置 哪些 OSPF 路 由 ， 
然后 引入 到 EBGP 路 由 进程 中 ,通告 给 其 他 AS 系统 , 另外 还 要 确定 每 个 AS 系统 的 EBGP 
对 等 体位 置 。 在 本 示例 中 ， 每 个 AS 系统 内 部 的 OSPF 路 由 只 需要 配置 各 目 所 连 子 网 就 
行 了 ， 不 要 再 包括 各 目的 mGRE Tunnel 接口 所 在 网 段 ， 因 为 此 时 这 些 mGRE Tunnel 接 
口 是 担 当 所 在 AS 的 EBGP 对 等 体 ， 位 于 AS 系统 的 边缘 。 

根据 以 上 分 析 ， 可 得 出 本 示例 的 基本 配置 思路 如 下 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 IP 地址。 

(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 

(3) 配置 AS 系统 内 的 各 子 网 OSPF 路 由 , 但 所 用 OSPF 路 由 进程 与 公 网 OSPF 路 由 
进程 不 一 样 。 

(4) 在 不 同 AS 系统 间 采 用 EBGP 协议 互联 ,配置 各 设备 上 的 mGRE Tunnel 接口 IP 
地 址 为 所 在 AS 的 EBGP 对 等 体 。 z 

(5) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

2. 具体 配置 步骤 

因为 本 示例 中 各 设备 接口 的 卫 地 址 及 基本 拓扑 结构 与 7.4.1 节 介 绍 的 配置 示例 完全 
一 样 ， 故 第 〈1)、(2) 项 配置 任务 仍 与 7.4.1 节 介 绍 的 示例 的 配置 完全 一 样 ， 参 见 即 可 ， 
不 再 歼 述 。 下 面 仅 介绍 后 面 三 项 配置 任务 的 具体 配置 方法 。 

(3) 配置 各 AS 系统 内 部 的 子 网 路 由 。 
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在 各 AS 系统 内 ， 通 过 OSPF 协议 通告 所 连 的 各 子 网 路 由 ， 但 所 采用 的 OSPF 路 由 
进程 不 能 与 公 网 中 的 OSPF 路 由 进程 一 样 (区域 ID 随意 )。 此 处 采用 1 号 OSPF 路 由 进 
程 ( 公 网 OSPF 路 由 中 采用 2 号 进程 )， 区 域 ID 为 0。 但 这 里 仅 需 要 通告 本 地 所 连接 的 
内 部 子 网 ， 不 包括 mGRE Tunnel 接口 对 应 的 IP 网 段 。 

# Hub 上 的 配置 。 


[Hub] ospf 1 

[Hub-ospf-1] area 0.0.0.0 

[Hub-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 ”#--- 通 告 本 地 AS 系统 内 子 网 

[Hub-ospf-1-area-0.0.0.0] quit 

[Hub-ospf-1] quit 

# Spokel 上 的 配置 。 

[Spokel| ospf 1 

[Spokel-ospf-1] area 0.0.0.0 

[Spokel1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 

[Spokel-ospf-1-area-0.0.0.0] quit 

[Spokel-ospf-1|] quit 

# Spoke2 上 的 配置 。 

[Spoke2] ospf 1 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] quit 

[Spoke2-ospf-1] quit 

(4) 配置 EBGP 路 由 (必须 配置 BGP 路 由 人 ID， 在 此 以 本 地 mGRE Tunnel 接口 P 
地 址 进行 标识 )， 在 新 创建 的 BGP 路 由 进程 中 引入 本 AS 内 OSPF 子 网 路 由 )， 并 指出 要 
建立 EBGP 连接 的 对 等 体 。 

# Hub 上 的 配置 。Hub 上 要 配置 的 EBGP 对 等 有 Spokel 和 Spoke2 两 个 ， 分 属于 
AS 200 和 AS 300 中 ， 对 等 体 IP 地 址 分 别 为 Spokel 和 Spoke2 的 mGRE Tunnel 接口 IP 


地 址 。 
[Hub] bgp 100 #--- 进 入 AS 100 中 
[Hub-bgp] router-id 172.16.1.1 #--- 配 置 以 本 地 mGRE Tunnel 接口 IP 地 址 作为 本 地 路 由 器 的 路 由 器 ID 
[Hub-bgp] import-route ospf ] #--- 引 入 OSPF 进程 1 的 路 由 
[Hub-bgp] peer 172.16.1.2 as-number 200 #--- 指 定 AS 200 对 等 体 IP 地 址 为 172.16.1.2 - 
[Hub-bgp] peer 172.16.1.3 as-number 300 #--- 指 定 AS 300 对 等 体 卫 地 址 为 172.16.1.3 
[Hub-bgp]| guit 


# ”Spokel 上 的 配置 。Spokel 上 要 配置 的 EBGP 对 等 有 Hub 和 Spoke2 两 个 ， 分 属于 


AS 100 和 AS 300 中 ， 对 等 体 下 地 址 分 别 为 Hub 和 Spoke2 的 mGRE Tunnel 接口 PP 地址 。 
[Spokel|] bgp 200 
[Spokel-bgp] router-id 172.16.1.2 
[Spokel-bgp] import-route ospf 1 
[Spokel-bgp] peer 172.16.1.1 as-number 100 
[Spokel-bgp] peer 172.16.1.3 as-number 300 
[Spokel-bgp| quit 


# Spoke2 上 的 配置 。Spoke2 上 要 配置 的 EBGP 对 等 有 Hub 和 Spokel 两 个 ， 分 属于 


AS 100 和 AS 200 中 , 对 等 体 了 PP 地 址 分 别 为 Hub 和 Spokel 的 mGRE Tunnel 接口 卫 地 址 。 
[Spoke2] bgp 300 
[Spoke2-bgp] router-id 172.16.1.3 
[Spoke2-bgp] import-route ospf 1 
[Spoke2-bgp] peer 172.16.1.1 as-number 100 
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[Spoke2-bgp] peer 172.16.1.2 as-number 200 
[Spoke2-bgp|] quit 
(5) 配置 mGRE Tunnel 接口 和 和 NHRP 协议 。 


在 Hub 和 Spoke 上 配置 mGRE Tunnel 接口 , 包括 mGRE 封闭、 降 道 源 PP 地 址 或 源 
接口 。 另外， 在 Hub 上 使 能 接收 Spoke 的 NHRP 动态 注册 功能 , 在 Spokel 和 Spoke2 上 
分 别 配置 Hub 的 静态 NHRP peer 表 项 。 

# Hub 上 的 配置 。 


[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic 
[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


[Spokel] interface tunnel 0/0/0 

[Spoke1-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke1-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spokel-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


[Spoke2] interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] quit 


3. 实验 结果 验证 

配置 完成 后 ， 可 以 进行 一 系列 的 配置 结果 验证 工作 了 。 ”中 华工 区 

(1) BGP 路 由 验证 。 

首先 来 检查 各 设备 的 BGP 路 由 表 中 是 否 已 学 习 到 了 其 他 两 端的 子 网 路 由 , 因为 只 
路 由 通 了 才 有 可 能 直接 在 Spoke 间 建 立 VPN 通信 。 

# 在 Hub 上 执行 display bgp routing-table 命令 ， 检查 Hub 上 的 BGP 路 由 信息 ， 结 
果 如 下 ,可 以 看 到 Hub 上 除了 本 地 子 网 的 192.168.0.0 网 段 路 由 外 ,还 学 习 到 了 两 个 Spoke 
子 网 的 路 由 , 而 且 各 目 通 过 两 条 路 径 学 习 到 了 ,其 中 一 条 是 直接 从 对 应 Spoke 学 习 到 的 ， 
另 一 条 是 通过 另 一 个 间接 Spoke 学 习 到 的 (参见 输出 信息 中 的 粗 体 字 部 分 )。 根据 AH 路 
径 必 性， 最 终 肯 定 会 选择 直接 从 对 应 Spoke 应 学 习 的 那 条 路 由 了 。 


[Hub] display bgp routing-table 


BGP Local router ID is 172.16.1.1 

Status codes: * - valid, > - best, d - damped, 
h-history, 1-internal,s - suppressed, S - Stale 
Origin : 1- IGP, e - EGP, ? - incomplete 


Total Number of Routes: $ 


Network NextHop MED LocPrf PrefVal Path/Ogn 
+*> 192.168.0.0 0.0.0.0 0 0 2 
*> 192.168.1.0 172.16.1.2 0 0 200? 


172.16.1.3 0 300 200? 
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*> 192.168.2.0 172.16.1.3 0 0 300? 
* 172.16.1.2 0 200 300? 


# 分 别 在 Spoke1、Spoke2 上 执行 display bgp routing-table 命令 ， 检 查 两 Spoke 上 
的 BGP 路 由 信息 ,结果 如 下 ， 从 中 可 以 看 出 它们 也 已 学 习 了 其 他 两 端子 网 的 路 由 , 而且 
每 端的 路 由 也 是 包括 了 两 条 不 同 的 学 习 路 径 〈( 参 见 输 出 信息 中 的 粗 体 字 部 分 )。 根 据 AH 
路 径 属 性 ， 最 终 肯 定 会 选择 直接 从 对 应 Spoke 应 学 习 的 那 条 路 由 了 。 


[Spokel| display bgp routing-table 





BGP Local router ID is 172.16.1.2 
Status codes: * - valid, > - best, d - damped, 
h -history, 1-internal, s - suppressed, S - Stale 


Origin : 1- IGP, ¢ - EGP, ? - incomplete 


Total Number of Routes: $ 


Network NextHop MED LocPrf PrefVal PathMOgn 
*> 192.168.0.0 172.16.1.1 0 0 100? 
172.16.1.3 0 300 100? 
*» ,192.168:1.0 0.0.0.0 0 0 2 
+> “192.168.2.0 172.16.1.3 0 0 300? 
172.16.1.1 0 100 300? 
[Spoke2] display bgp routing-table 
BGP Local router ID is 172.16.1.3 
Status codes: * - valid, 一 best, d - damped, 
h -history, i- internal,s- suppressed, S - Stale 
Origin : i - IGP, e - EGP., ? - incomplete 
Total Number of Routes: 5 
Network NextHop MED LocPrf PrefVal Path/Ogn 
> 90 172.16.1.1 0 0 100? 
和 172.16.1.2 0 200 100? 
*> 192.168.1.0 172.10.1.2 0 0 2002 
家 172.16.1.1 0 100 200? 
* > ]92.108.2.0 0.0.0.0 0 0 2 


(2) 验证 各 设备 上 的 NHRP peer 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令， 发 现 Hub 上 已 有 Spokel 和 Spoke2 的 
NHRP peer 表 项 注册 信息 了 (参见 输出 信息 中 的 粗 体 学 部 分 )， 表明 Spokel 和 Spoke2 已 
成 功 在 Hub 上 动态 注册 了 他 们 自己 的 NHRP peer 表 项 了 。 因 为 在 前 面 两 Spoke 的 Tunnel 
接口 的 配置 中 就 已 加 了 “register” 选 项， 局 动 了 Spoke 回 Hub 进行 NHRP peer 动态 注 


[Hub] display nhrp peer all 
Protocol-addr Mask NBMA-addr Nextflop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 
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Tunnel interface: Tunnel0/0/0 
Created time : 00:07:52 


Expire time ; 01:52:08 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


ee wee ee ee ee oe eee ee oe em ee ee ee ee ee ee ee ee ee oe ee ee ee ee oe ee ee ee ee ee ee ee ee 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:09 
Expire time : 01:59:5] 


Number of nhrp peers: 2 
# 分 别 在 Spokel、Spoke2 上 执行 display nhrp peer all 命令 ， 结 果 发 现 两 Spoke 上 


除了 有 静态 配置 的 Hub NHRP peer 表 项 外 ,还 有 动态 生成 的 对 端 Spoke 的 NHRP peer 表 
项 和 本 地 NHRP peer 表 项 〈 人 参见 输出 信息 中 的 粗 体 字 部 分 )。 这 与 前 面 几 贡 介绍 的 示例 
不 一 样 ， 原 因 是 BGP 协议 各 EBGP 对 等 体 交互 过 程 中 的 流量 已 触发 Spoke 间 NHRP 解 
析 过 程 ， 相 互 学 习 到 了 对 方 的 NHRP peer 表 项 。 


[Spokel| display nhrp peer al 


Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 


se ee on oo en Try VVVVII Try Vono 


172,16.1.1 32 202.1.1.10 172.16.1.1 static hub 
Tunnel interface: Tunnel0/0/0 
Created time : 00:18:51 


Expire time : -- 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:07:09 


Expire time : 01:52:54 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.10.1.2 32 202.1.2.10 172.16.1.2 dynamic local 


ose ee ee ee gr ro To 人 grgr0 gr oggog gg Wiog ogggg， ogg rpgy pg inggy Yig pg 1VrVI prrry pg oogy por gg googgy pro0I ogg， ogg ory rr oo oo 


Tunnel interface: Tunnel0/0/0 
Created time : 00:07:36 
Expire time : 01:52:24 


Number of nhrp peers: 3 


[Spoke2] display nhrp peer al 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


1172.10.1.] 32 202.1.1.10 172.10.1.! static hub 
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Tunnel interface: Tunnel0/0/0 
Created time : 00:07:38 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr © Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


-一 一 一 -一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel Interface: Tunnel0/0/0 
Created time : 00:07:36 


Expire time : 01:52:24 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:07:36 
Expire time : 01:52:24 


Number of nhrp peers: 3 

再 在 一 个 Spoke 向 另 一 个 Spoke 所 连接 的 子 网 〈 即 对 端的 Loopback 接口 IP 地 址 ) 
执行 ping 操作 ， 结 果 肯 定 是 通 的 。 
7.4.5 ”shortcut 场景 DSVPN( RIP 协议 ) 配置 示例 

如 图 7-23 所 示 ， 革 大 型 企业 有 总 部 (Hub) 和 多 个 分 文 (Spokel、Spoke2...…... 5 
例 中 仅 使 用 两 个 分 支 )， 分 布 在 不 同 地 域 ， 总 部 和 分 支 的 子 网 环境 会 经 党 出现 变动 。 分 文 
采用 动态 地 址 接 入 公 网 。 企 业 规 划 使 用 RIP 路 由 协议 ， 和 希望 在 实现 分 文 与 总 部 之 间 的 
VPN 互联 的 同时 ， 分 支 之 间 也 能 建立 VPN 互联 。 










分 支 1 子 网 Tunnel0/0/0 
192.168.1.0/24 172 16 1 2/24 


心 GE1/0/0 
202.1.2.10/24 














Spoke 1 a LoopBack0 
a a 192.168.0.1/24 
192.168.1.1/24 GE1/0/0 
202.1.1.10/24 
Inte net Tunnel0/0/0 192.168.0.0/24 
172.16.1.1/24 
LoopBack0 | Hib 
192.168.2.1/24 -一 
Spoke 2 i - 









GE1/0/0 
202.1.3.10/24 


Tunnel0/0/0 


人 172.16.1.3/24 


192.168.2.0/24 


7-23 ”shortcut 场景 DSVPN (RIP 协议 ) 配置 示例 的 拓扑 结构 
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1. 基本 配置 思路 分 析 

由 于 分 支 是 采用 动态 地 址 接 入 公 网 的 ， 分 支 之 间 互 相 不 知道 对 方 的 公 网 地 址 ， 因 此 
必须 采用 DSVPN 来 实现 分 支 之 间 的 VPN 互联 。 但 由 于 分 支 数 量 较 多 , 因此 采用 shortcut 
场景 的 DSVPN。 由 于 分 支 和 总 部 的 子 网 环境 经 常 出 现 变动 ， 为 简化 维护 ， 并 根据 企业 
网 络 规划 选择 部 署 RIP 路 由 协议 来 实现 分 文 /总 部 间 的 通信 。 

本 示例 与 前 面 几 节 介 绍 的 配置 示例 一 个 主要 不 同 就 是 , 本 示例 要 采用 shortcut 场景 ， 
所 以 在 配置 方面 有 所 区 别 ， 主 要 体现 在 子 网 路 由 和 NHRP 协议 配置 方面 。 下 面 是 本 示例 
的 基本 配置 思路 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 卫 地 址 。 

(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 

(3) 采用 RIP 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 
RIP 协议 版 本 为 RIP-2。 但 此 时 在 shortcut 场景 下 ， 要 在 总 部 Hub 的 mGRE Tunnel 接口 
上 使 能 水 平分 割 和 自动 路 由 聚合 功能 ， 原 因 已 在 7.3.3 市 做 了 分 析 。 

(4) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

2. 具体 配置 步骤 

因为 本 示例 中 各 设备 接口 的 IP 地 址 及 基本 拓扑 结构 与 7.4.1 节 介 绍 的 配置 示例 完全 
一 样 , 故 本 示例 中 的 第 (1)、(2) 项 配置 任务 的 具体 配置 与 7.4.1 市 示例 的 配置 完全 一 样 ， 
参见 即 可 。 下 面 仅 介绍 第 (3)、(4) 项 配置 任务 的 具体 配置 方法 。 

(3) 配置 各 子 网 的 RIP 路 由 ， 包 括 各 设备 上 的 mGRE Tunnel 接口 所 在 网 段 。 但 在 
shortcut 场景 下 ， 要 确 你 已 使 能 RIP 路 由 汇聚 功能 〈 缺 省 已 使 能 ， 无 需 配置 )。 注 意 : RIP 
协议 的 路 由 通告 都 是 以 对 应 的 目 然 网 段 进行 的 。 

# Hub 上 的 配置 。 

[Hubl rip ! 

[Hub-rip-1] version 2 

LHub-rip-1] network 172.16.0.0 

[Hub-rip-1| network 192.168.0.0 

[Hub-rip-1] quit 

# ”Spokel 上 的 配置 。 

[Spokel| rip ] 

[Spokel-rip-1 | version 2 

[Spokel-rip-1] network 172.16.0.0 

[Spokel-rip-1|] network 192.168.1.0 

[Spokel-rip-l1| quit 

# Spoke2 上 的 配置 。 

[Spoke2| rip ! 

[Spoke2-rip-1] version 2 

[Spoke2-rip-1] network 172.16.0.0 

[Spoke2-rip-1] network 192.168.2.0 

[Spoke2-rip-1] quit 

(4) 配置 mGRE Tunnel 接口 及 NHRP 协议 。 

在 Hub 上 要 配置 mGRE Tunnel 接口 以 组 播 方式 加 各 Spoke 发 布 包括 本 地 子 网 和 各 
Spoke 子 网 在 内 的 聚合 路 由 , 使 能 水 平分 割 功 能 和 NHRP Redirect 功能 (用 于 告知 源 Spoke 
去 往 目 的 Spoke 的 最 佳 下 一 跳 )。 在 Spokel 和 Spoke2 上 分 别 配置 Hub 的 静态 NHRP peer 
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表 项 , 并 使 能 NHRP Shortcut 功能 , 因为 本 示例 为 shortcut 场景 ,其 他 公共 配置 包括 mGRE 
封装 、 源 接口 (对 应 的 公 网 接口 )。 
# Hub 上 的 配置 。 


[Hub| interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Hub-Tunnel0/0/0] nhrp entry malticast dynamic 

[Hub-Tunnel0/0/0] rip version 2 multicast #--- 指 定 以 组 播 方式 发 送 RIP-2 报 文 

[Hub-Tunnel0/0/0] rip summary-address 192.168.0.0 255.255.0.0 #--- 发 布 包 括 Hub 子 网 和 各 Spoke 子 网 在 内 的 RIP 
聚合 路 由 192.168.0.0/16 

[Hub-Tunnel0/0/0] rip split-horizon ”#--- 使 能 水 平分 割 功能 

[Hub-Tunnel0/0/0] nhrp redirect #--- 使 能 NHRP 重 定向 功能 

[Hub-Tunnel0/0/0] quit 





配置 RIP 路 由 聚合 时 ， 所 指定 聚合 的 网 络 必须 在 本 地 存在 ， 所 以 需要 在 本 地 配置 
对 应 的 LoopBack 接口 IP 地址。 当然 ,如果 在 实际 应 用 中 ， 如 果子 网 中 有 物理 接口 的 IP 
地 址 是 在 该 聚合 路 由 网 段 中 ， 也 就 无 需 配 置 LoopBack 接口 IP 地址 了 。 


# Spokel 上 的 配置 。 


[Spokel | interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spokel-Tunnel0/0/0] rip version 2 multicast 
[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke1-Tunnel0/0/0] nhrp shortcut #--- 启 用 shortcut 功能 
[Spokel-Tunnel0/0/0] quit 

# Spoke2 上 的 配置 。 

[Spoke2] interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] rip version 2 multicast 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0| nhrp shortcut 

[Spoke2-Tunnel0/0/0] quit 


3. 配置 结果 验证 

配置 完成 后 ， 可 以 进行 一 系列 的 配置 结果 验证 工作 了 。 

(1) 验证 各 设备 上 的 NHRP peer 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 , 则 会 发 现 Hub 上 已 有 Spokel 和 Spoke2 
的 NHRP peer 表 项 注册 信息 了 , 表明 Spokel 和 Spoke2 已 成 功 在 Hub 上 动态 注册 了 它们 
自己 的 NHRP peer 表 项 了 。 因 为 在 前 面 两 Spoke 的 Tunnel 接口 的 配置 中 就 已 加 了 
“register” 选 项， 启动 了 Spoke 向 Hub 进行 NHRP peer 动态 注册 流程 。 

[Hub| display nhrp peer al 


Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 


17216.1.2 32 202.1.2.10 172.10.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
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Created time “0 .02 :17 


Expire time : 01:57:43 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.13 32 202.1 3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 01:02:08 
Expire time : 01:57:52 


Number of nhrp peers: 2 
# 分 别 在 Spokel、Spoke2 上 执行 display nhrp peer all 命令 , 检查 Spoke 上 的 NHRP 


peer 信息 ， 结 果 如 下 ， 从 中 可 以 看 出 当前 Spokel 和 Spoke2 上 只 能 看 到 Hub 的 静态 NHRP 
peer 表 项 ， 原 因 与 前 面 多 节 配 置 示例 中 介绍 的 一 样 。 


[Spokel| display nhrp peer al 


Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 


172.10.1.! 32 202.11.10 1 161] static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 01:02:37 
Expire time : -- 


Number of nhrp peers: ] 


[Spoke2| display nhrp peer al 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


1 .2.16.1.1 32 202.1.1.10 172.106.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time :01:02:23 
Expire time : -- 


Number of nhrp peers: 1 


(2) 检查 RIP 子 网 路 由 信息 。 
# 在 Hub 上 执行 display rip 1 route 命令 , 检查 Hub 上 的 RIP 路 由 信息 ， 结 果 如 下 ， 
从 中 可 以 看 出 Hub 已 成 功 学 习 到 两 Spoke 的 子 网 路 由 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Hub] display rip 1 route 
Route Flags : R - RIP 
A -Aging, G - Garbage-collect 


Peer 172.16.1.2 on Tunnel0/0/0 


Destination/Mask Nexthop Cost Tag Flags ”Sec 

192.168.1.0/24 172.16.1.2 1 0 RA 15 
Peer 172.16.1.3 on Tunnel0/0/0 

Destination/Mask Nexthop Cost Tag Flapgs Sec 

192.168.2.0/24 172.16.13 1 0 RA 28 


# 分 别 在 Spokel、Spoke2 上 执行 display rip 1 route 命令 ， 检 查 两 Spoke 上 的 RIP 
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路 由 信息 ， 结 果 如 下 ， 从 中 可 以 看 出 ， 两 Spoke 均 仅 从 Hub 上 学 习 到 各 子 网 的 汇聚 RIP 
路 由 192.168.0.0/16， 没 其 他 明细 RIP 路 由 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel] display rip 1 route 
Route Flags : R - RIP 
A -Aging, G - Garbage-collect 
Peer 172.16.1.1 on Tunnel0/0/0 
Destination/Mask Nexthop Cost Tag Flags Sec 
192.168.0.0/16 172.16.1.1 1 0 RA 30 


[Spoke2| display rip 1 route 
Route Flags : R - RIP 
A-Aging,G -Garbage-collect 
Peer 172.16.1.1 on Tunnel0/0/0 
Destination/Mask Nexthop Cost Tag Flags Sec 
192.168.0.0/16 172.16.1.1 1 0 RA 有 


(3) 在 源 Spoke 上 执行 向 目的 Spoke 的 ping 操作 (Ping 代表 子 网 的 Loopback 接口 

IP 地 址 )， 触 发 源 Spoke 向 目的 Spoke 发 送 NHRP 解析 请 求 报 文 ， 以 便 相互 学 习 到 对 方 

的 NHRP peer。Ping 操作 完成 后 再 在 Spoke 上 执行 display nhrp peer all 命令 查看 本 地 的 

NHRP peer 表 项 ， 结 果 发 现 丙 Spoke 已 学 习 到 对 方 的 两 个 NHRP peer 表 项 了 参见 输出 
言 姑 中 的 粗 体 池 部 分 )。 


[Spokel| display nhrp peer al 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.1 32 202.1.1.10 172.16.1.1 static hub 
Tunnel interface: Tunnel0/0/0 

Created time : 01:07:00 

Expire time : -- 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic route network 


Tunnel Interface: Tunnel0/0/0 
Created time : 00:00:29 


Expire time :ORI93] 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:29 
Expire time 01509:31 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic local 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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Tunnel interface: Tunnel0/0/0 
Created time : 00:00:29 
Expire time : 01:59:31 


Number of nhrp peers: 4 


[Spoke2] display nhrp peer al 


Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 


172.161.1 32 202.1.1.10 172.16.1.1 static hub 
Tunnel interface: Tunnel0/0/0 

Created time : 01 07 20 

Expire time : -- 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


oe ee se ee ee es ee ee ee ee ec es es ee 


192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic route network 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:56 


Expire time : 01:59:04 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:56 


Expire time : 01:59:04 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192 .168.2.1 32 202.1.3.10 172.16.13 dynamic local 


ee ee ee ee eee ee ee ee ee ee ee wo 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:56 
Expire time : 01:59:04 


Number of nhrp peers: 4 





对 比 7.4.2 节 介 绍 的 配置 示例 中 ， 源 Spoke 所 学 习 到 的 目的 Spoke 的 NHRP peer 
表 项 可 以 看 出 , 这 里 除了 有 基于 mGRE Tunnel 接口 的 NHRP peer 表 项 外 , 还 多 了 一 项 基 
于 子 网 地 址 的 NHRP peer 表 项 。 如 在 Spokel 中 学 习 到 了 Spoke2 中 的 192.16.1.2 子 网 对 
应 的 NHRP peer 表 项 ,而 在 Spoke2 中 学 习 到 了 Spokel 中 的 192.16.1.1 对 应 的 NHRP peer 
表 项 。 了 于 网 地 址 对 应 的 NHRP peer 表 项 是 通过 Hub 发 布 的 子 网 汇聚 路 由 学 习 到 达 对 端 
Spoke 子 网 路 由 时 生成 的 ， 仅 在 shortecut 场景 下 存在 ， 后 面 各 节 所 介绍 的 shortcut 场景 
下 的 配置 示例 中 同 理 。 
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7.4.6 ”shortcut 场景 DSVPN (OSPF 协议 ) 配置 示例 
如 图 7-24 所 示 ， 某 大 型 企业 有 总 部 (Hub) 和 多 个 分 支 (Spoke1、Spoke2......， 举 


例 中 仅 使 用 两 个 分 支 )， 分 布 在 不 同 地域 ， 总 部 和 分 支 的 子 网 环境 会 经 常 出 现 变动 。 分 支 
采用 动态 地 址 接 入 公 网 。 企 业 规 划 使 用 OSPF 路 由 协议 ， 希 望 在 实现 分 支 与 总 部 之 间 的 
VPN 互联 的 同时 ， 分 文 之 间 也 能 建立 VPN 互联 。 


分 支 1 子 网 
192.168.1.0/24 


Tunnel0/0/0 

172.16.1.2/24 
GE1/0/0 

202.1.2.10/24 











Spoke!1 . LoopBack0 
LoorDadl ~ 192.168.0.1/24 
192.168.1.1/24 GE1/0/0 
202.1.1.10/24 
Internet 4 总 部 子 网 
Tunnel0/0/0 192.168.0.0/24 
Leni 172.16.1.1/24 ns 


192.168.2.1/24 一 


5 
” 









Spoke 2 





区 





GE1/0/0 
202.1.3.10/24 


Tunnel0/0/0 


分 支 2 子 风 172.16.1.3/24 


192.168.2.0/24 
图 7-24 ”shortcut 场景 DSVPN (OSPF 协议 ) 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

本 示例 的 配置 要 求 与 7.4.5 节 介 绍 的 配置 示例 差不多 ， 唯 一 不 同 的 是 本 示例 在 配置 
子 网 路 由 时 要 采用 OSPF 路 由 协议 。 此 时 有 两 方面 要 注意 : 一 是 当 公 网 路 由 配置 也 采用 
OSPF 路 由 协议 时 ， 公 网 和 私 网 中 所 采用 的 OSPF 路 由 进程 不 能 一 样 ， 二 是 此 时 Hub 和 
各 Spoke 的 mGRE Tunnel 接口 的 OSPF 网 络 均 要 配置 为 P2MP 类 型 。 

本 示例 的 基本 配置 思路 如 下 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 IP 地址。 

(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 

(3) 采用 OSPF 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 
但 路 由 进程 不 要 与 公 网 一 样 。 

(4) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

2. 具体 配置 步骤 

因为 本 示例 中 各 设备 接口 的 卫 地 址 及 基本 拓扑 结构 与 7.4.1 节 介 绍 的 配置 示例 完全 
一 样 , 故 本 示例 中 的 第 (1)、(2) 项 配置 任务 的 具体 配置 与 7.4.1 节 示 例 的 配置 完全 一 样 ， 
参见 即 可 。 下 面 仅 介绍 第 (3)、(4) 项 配置 任务 的 具体 陀 置 方法 。 

(3) 配置 子 网 OSPF 路 由 ， 包 括 各 设备 上 创建 的 mGRE Tunnel 接口 对 应 的 卫 网 段 
和 内 部 私 网 IP 网 段 。 
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# Hub 上 的 配置 。 

[Hub] ospf 1 router-id 172.16.1.1 

[Hub-ospf-1] area 0.0.0.0 

[Hub-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 
[Hub-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.253 
[Hub-ospf-1-area-0.0.0.0] quit 

[Hub-ospf-1|] quit 


# Spokel 上 的 配置 。 

[Spoke1] ospf 1 router-id 172.16.1.2 

[Spokel-ospf-1] area 0.0.0.0 

[Spokel-ospf-1-area-0.0.0.0| network 172.16.1.0 0.0.0.255 
[Spokel-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 
[Spokel-ospf-1-area-0.0.0.0] quit 

[Spokel-ospf-1] quit 


# Spoke2 上 的 配置 。 


[Spoke2] ospf 1 router-id 172.16.1.3 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] quit 

[Spoke2-ospf-1] quit 

(4) 配置 mGRE Tunnel 接口 和 NHRP 协议 。 

在 shortcut 场景 中 ， 要 把 Hub 和 Spoke mGRE Tunnel 接口 的 OSPF 网 络 类 型 配置 为 
P2MP 类 型 ， 并 且 配 置 Hub 的 mGRE Tunnel 接口 的 DR 优先 级 最 高 ， 以 实现 统一 由 Hub 
对 各 Spoke 间 进 行路 由 通告 , Spoke( 非 DR ) 间 不 相互 进行 路 由 通告 。 在 Hub 使 能 NHRP 
Redirect 功能 ， 使 能 接收 Spoke 的 NHRP 动态 注册 功能 ; 在 Spokel 和 Spoke2 上 分 别 配 
置 Hub 的 静态 NHRP peer 表 项 ， 并 使 能 NHRP Shortcut 功能 。 

# Hub 上 的 配置 。 


[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Hub-Tunnel0/0/0] nhrp entry multicast dynamic 

[Hub-Tunnel0/0/0] ospf network-type p2mp #--- 配 置 Tunnel0/0/0 接口 的 OSPF 网 络 类 型 为 P2MP 

[Hub-Tunnel0/0/0] ospf dr-priority 100 ”#--- 配 置 Tannel0/0/0 接口 的 DR 优先 为 100， 其 他 Tunnel 接口 的 DR 优先 级 
均 设置 为 0， 使 Hub 的 Tunnel 接口 DR 优先 级 最 高 ， 最 终 被 选举 为 DR 

[Hub-Tunnel0/0/0] nhrp redirect 

[Hub-Tunnel0/0/0] quit 


# 在 Spokel 上 配置 Tunnel 接口 ，OSPF 路 由 相关 属性 以 及 Hub 的 静态 NHRP peer 
表 项 ， 使 能 NHRP Shortcut 功能 。 


[Spokel | interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke1-Tunnel0/0/0] ospf network-type p2mp 
[Spoke1l-Tunnel0/0/0] ospf dr-priority 0 

[Spokel-Tunnel0/0/0] nhrp shortcut 

[Spoke1-Tunncl0/0/0] quit 


# 在 Spoke2 上 配置 Tunnel 接口 ，OSPF 路 由 相关 属性 以 及 Hub 的 静态 NHRP peer 
表 项 ， 使 能 NHRP Shortcut 功能 。 
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[Spoke2| interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] ospf network-type p2mp 
[Spoke2-Tunnel0/0/0] ospf dr-priority 0 

[Spoke2-Tunnel0/0/0] nhrp shortcut 

[Spoke2-Tunnel0/0/0] quit 


3. 配置 结果 验证 

配置 完成 后 ， 可 以 进行 一 系列 的 配置 结果 验证 工作 了 。 

(1) 验证 各 设备 上 的 NHRP peer 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 ， 则 会 发 现 Hub 上 已 有 Spokel 和 Spoke2 
的 NHRP peer 表 项 注册 信息 了 , 表明 Spokel 和 Spoke2 已 成 功 在 Hub 上 动态 注册 了 它们 
目 己 的 NHRP peer 表 项 了 。 因 为 在 前 面 两 Spoke 的 Tunnel 接口 的 配置 中 就 已 加 了 
“register” 选 项 ， 启 动 了 Spoke 向 Hub 进行 NHRP peer 动态 注册 流程 。 

[Hub] display nhrp peer all 


Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 


-一 一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


1 72.16.1 .2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:44:56 


Expire time : 01:54:57 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
172.10:13 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:44:50 
Expire time : 01:54:45 


Number of nhrp peers: 2 
# 分 别 在 Spokel、Spoke2 上 执行 display nhrp peer all 命令 , 检查 Spoke 上 的 NHRP 


peer 信息 ,结果 如 下 ,从 中 可 以 看 出 当前 Spokel 和 Spoke2 上 只 能 看 到 Hub 的 静态 NHRP 
peer 表 项 ， 原 因 与 前 面 多 节 配 置 示例 中 介绍 的 一 样 。 


[Spokel] display nhrp peer all 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


L7216:1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 00:46:47 
Expire time : -- 


Number of nhrp peers: 1 


[Spoke2| display nhrp peer all 
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Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


ee 


172.16.1. 32 202.1.1.10 172.16041.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 00:46:21 
Expire time : -- 


Number of nhrp peers: 1 

(2) 检查 OSPF 路 由 信息 ， 包 括 公 网 和 私 网 OSPF 路 由 。 

# 在 Hub 上 执行 display ospf 1 routing 操作 ， 检 查 Hub 上 的 OSPF 路 由 人 信息， 结果 
如 下 ， 从 中 可 以 看 出 ， 到 达 各 公 网 、 私 网 的 OSPF 路 由 都 有 了 。 


[Hub] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.1 


Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter Area 
172.16.1.1/32 0 Stub 1712.10.1.1 172.16.1.1 0.0.0.0 
172.16.1 .2/32 1562 Stub 172.10.1 2 172.1012 0.0.0.0 
172.16.1.3/32 1562 Stub 172.10.1.3 172.16.1.3 0.0.0.0 
192.168.0.1/32 0 Stub 172.106.1,1 i172.16.1.1 0.0.0.0 
192.168.1.1/32 1562 Stub 172.10.1.2 172.16.12 0.0.0.0 
192.168.2.1/32 1562 Stub 172.16.1.3 172.10.13 0.0.0.0 


Total Nets: 6 
Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


# 分 别 在 Spokel、Spoke2 上 执行 display ospf 1 routing 操作 ， 检 查 两 Spoke 上 的 
OSPF 路 由 信息 ， 结 果 也 会 发 现 均 已 学 习 到 其 他 端的 公 网 和 私 网 路 由 。 


[Spokel] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.2 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.2/32 0 Stub 172.106.1.2 1712.10.1.2 0.0.0.0 
192.168.1.1/32 0 Stub 192.168.1.1 1 2 0 12 0.0.0.0 
172.16.1.1/32 1562 Stub 1 72.16. .1 710. 1 0.0.0.0 
192.168.0.1/32 1562 Stub 172.16.1.1 172.16.1.1 0.0.0.0 
1 ,210 1.3/32 3124 Stub 1 2.16.1 1 172.16.13 0.0.0.0 
192.168.2.1/32 3124 Stub 172.16.1.1 172.16.1.3 0.0.0.0 
Total Nets: 6 


Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


[Spoke2|] display ospf 1 routing 


OSPF Process 1] with Router ID 172.16.1.3 
Routing Tables 


Routing for Network 
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Destination Cost Type NextHop AdvRonuter Area 
172.16.1.3/32 0 Stub 172.16.1.3 172.10.13 0.0.0.0 
192.168.2.1/32 0 Stub 192.168.2.1 172.16.1.3 0.0.0.0 
172.16.1.1/32 1562 Stub 172.16.1.1 172.16.1.! 0.0.0.0 
192.168.0.1/32 1562 Stub 172.10.1 .| ] /2.16.1.] 0.0.0.0 
172.16.1.2/32 3124 Stub 172.16.1.1 172.1612 0.0.0.0 
192.168.1.1/32 3124 Stub 72.10.1.] 172.16.1.2 0.0.0.0 
Total Nets: 6 


Intra Area: 6 Inter Area:0 ASE:0 NSSA:0 

(3) 在 源 Spoke 上 执行 向 目的 Spoke 的 ping 操作 (Ping 代表 子 网 的 Loopback 接口 
IP 地 址 )， 触 发 源 Spoke 向 目的 Spoke 发 送 NHRP 解析 请 求 报 文 ， 以 便 相 互 学 习 到 对 方 
的 NHRP peer。Ping 操作 完成 后 再 在 Spoke 上 执行 display nhrp peer all 命令 查看 本 地 的 
NHRP peer 表 项 ， 结 果 发 现 两 Spoke 已 学 习 到 对 方 的 两 个 NHRP peer 表 项 了 《参见 输出 
信息 中 的 粗 体 字 部 分 )， 原 因 与 7.4.5 节 介 绍 的 配置 示例 中 的 分 析 一 样 。 


[Spokel] display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


11216231 .1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 00:52:18 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic route network 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:33 


Expire time :01:59:27 
Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:33 


Expire tme -1592 7 
Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.12 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:33 
Expire time : 01:59:27 


Number of nhrp peers: 4 


[Spoke2] display nhrp peer all 
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Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 


ee 


172.16 1 1 32 202.1.1.10 ] /2.16.1.1 static hub 
Tunnel interface: Tunnel0/0/0 
Created ttme : 00:52:38 


Expire time 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic route network 


一 一 -一 一 一 一 -一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:59 


Expire time : 01:59:01 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:59 


Expire time : 01:59:01] 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:59 
Expire time : 01:59:01 


Number of nhrp peers: 4 


7.4.7 shortcut 场景 DSVPN (BGP 协议 ) 配置 示例 


如 图 7-25 所 示 ， 某 大 型 企业 有 总 部 (Hub) 和 多 个 分 支 (Spokel、Spoke2......， 举 
例 中 仅 使 用 两 个 分 支 )， 分 布 在 不 同 地 域 并 所 属 不 同 AS 域 ， 总 部 和 分 支 的 子 网 环境 会 经 
常 出 现 变动 。 分 支 采 用 动态 地 址 接 入 公 网 。 企 业 规 划 AS 域内 部 使 用 OSPF 路 由 协议 ， 
AS 域 间 使 用 EBGP 路 由 协议 ， 和 希望 能 够 在 实现 分 支 与 总 部 之 间 的 VPN 互联 的 同时 ， 分 
支 之 间 也 能 建立 VPN 互联 。 

1. 基本 配置 思路 分 析 

本 示例 由 于 各 分 文 和 总 部 在 不 同 的 AS 系统 内 ， 而 且 各 子 网 环境 经 常 出 现 变 动 ， 为 
简化 维护 ， 并 根据 企业 网 络 规划 选择 部 署 BGP 路 由 协议 来 实现 分 支 /总 部 间 的 通信 。 但 
在 各 AS 系统 内 部 均 采 用 OSPF 协议 ， 当 然 不 能 与 公 网 路 由 中 所 采用 的 OSPF 路 由 进程 
= 

本 示例 的 基本 配置 思路 如 下 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 卫 地 址 。 

(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 
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图 7-25 ”shortcut 场景 DSVPN (BGP 协议 ) 配置 示例 的 拓扑 结构 


(3) 在 每 个 AS 系统 内 采用 OSPF 路 由 协议 通告 本 地 子 网 在 内 的 网 段 , 但 所 用 OSPF 
路 由 进程 与 公 网 OSPF 路 由 进程 不 一 样 。 

(4) 在 不 同 AS 系统 间 采 用 EBGP 协议 互联 ， 引 入 本 AS 内 部 的 子 网 OSPF 路 由 ， 
此 时 各 设备 上 的 mGRE Tunnel 接口 卫 地 址 是 所 在 AS 的 EBGP 对 等 体 。 在 Hub 上 还 要 
配置 包括 各 子 网 的 BGP 汇聚 路 由 。 

(5) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

2， 具 体 配 置 步骤 

因为 本 示例 中 各 设备 接口 的 IP 地 址 及 基本 拓扑 结构 与 7.4.1 市 介绍 的 配置 示例 完全 
一 样 ， 故 第 (1)、(2) 项 配置 任务 仍 与 7.4.1 节 介 绍 的 示例 的 配置 完全 一 样 ， 参 见 即 可 ， 
不 再 缆 述 。 下 面 仅 介绍 后 面 三 项 配置 任务 的 具体 配置 方法 。 

(3) 配置 各 AS 系统 内 子 网 路 由 (m 不 包括 GRE Tunnel 接口 路 由 )。 

在 不 同 AS 自治 域 的 分 支 Spoke 和 总 部 Hub 上 配置 OSPF 路 由 协议 ， 实 现 AS 内 路 
由 可 达 。 此 处 必须 采用 与 在 第 〈2) 步 配置 的 公 网 路 由 中 的 不 同 OSPF 路 由 进程 。 

# Hub 上 的 配置 。 

[Hub] ospf 1 

[Hub-ospf-1] area 0.0.0.0 

[Hub-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 

[Hub-ospf-1-area-0.0.0.0] quit 

[Hub-ospf-1|] quit 

# Spokel 上 的 配置 。 

[Spokel] ospf 1 

[Spokel1-ospf-1] area 0.0.0.0 

ISpokel-ospf-1-area-Q.0.0.0| network 192 16% 1000.0.255 

[Spokel-ospf-1-area-0.0.0.0] quit 

[Spokel1-ospf-1| quit 


# Spoke2 上 的 配置 。 
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[Spoke2] ospf 1 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] quit 

[Spoke2-ospf-1 | quit 

(4) 配置 EBGP 路 由 ， 实 现 不 同 AS 系统 中 子 网 的 互联 。 在 这 里 要 各 目 引 入 本 AS 
内 子 网 的 OSPF 路 由 《必须 先 配 置 BGP 路 由 器 ID， 在 此 以 本 地 mGRE Tunnel 接口 PP 
地 址 进行 标识 ), 并 指出 要 建立 EBGP 连接 的 对 等 体 , 即 对 端 mGRE Tunnel 接口 IP 地 址 。 
另外 ， 本 示例 采用 shortcut 场景 部 署 ， 所 以 要 在 Hub 上 配置 包括 各 了 网 的 汇聚 路 由 。 

# Hub 上 的 配置 。 


[Hub] bgp 100 

[Hub-bgp] router-id 172.16.1.1 

[Hub-bgp] import-route ospf ] #---3 引 入 本 地 AS 的 子 网 OSPF 路 由 

[Hub-bgp] peer 172.16.1.2 as-number 200 #--- 指 定位 于 AS 200 中 的 EBGP 对 等 体 
[Hub-bgp] peer 172.16.1.3 as-number 300”#--- 指 定位 于 AS 300 中 的 EBGP 对 等 体 
[Hub-bgp] aggregate 192.168.0.0 16 detail-suppressed #--- 仅 发 布 192.168.0.0/16 的 汇聚 路 由 
[Hub-bgp] quit 





“配置 路 由 聚合 上 时， 指定 的 聚合 卫 网 段 必 须 在 本 地 存在 ， 所 以 在 我 们 这 个 实验 中 
需要 配置 对 应 的 LoopBack 接口 耻 地 址 。 如 果 是 真实 环境 ， 有 物理 接口 位 于 该 聚合 路 由 
IP 网 段 中 ， 则 可 无 需 再 为 此 创建 LoopBack 接口 了 。 


# Spokel 上 的 配置 。 

[Spokel| bgp 200 

[Spokel-bgp] router-id 172.16.1.2 

[Spokel-bgp] import-route ospf 1 

[Spokel-bgp] peer 172.16.1.1 as-number 100 

[Spokel-bgp] quit 

# Spoke2 上 的 配置 。 

[Spoke2] bgp 300 

[Spoke2-bgp|] router-id 172.16.1.3 

[Spoke2-bgp| import-route ospf 1 

[Spoke2-bgp] peer 172.16.1.1 as-number 100 

[Spoke2-bgp] quit 

(5) 配置 各 mGRE Tunnel 接口 和 NHRP 协议 。 

在 Hub 和 Spoke 上 配置 mGRE Tunnel 接口 ， 包 括 mGRE 封装 、 源 接口 ， 并 在 Hub 
的 mGRE Tunnel 接口 上 使 能 接受 Spoke 动态 NHRP 注册 功能 和 NHRP Redirect 功能 , 在 
Spokel 和 Spoke2 上 分 别 配 置 Hub 的 静态 NHRP peer 表 项 , 并 使 能 NHRP Shortcut 功能 。 


# Hub 上 的 配置 。 


[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic 
[Hub-Tunnel0/0/0] nhrp redirect 
[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


[Spokel | interface tunnel 0/0/0 
[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 
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[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spokel-Tunnel0/0/0] nhrp shorteut 

[Spokel1-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


[Spoke2| interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] nhrp shortcut 

[Spoke2-Tunnel0/0/0] quit 


3. 配置 结果 验证 

以 上 配置 完成 后 ， 最 后 进行 一 系列 的 实验 结果 验证 。 

(1) 验证 各 AS 则 的 子 网 BGP 路 由 。 

配置 好 BGP 路 由 后 ， 可 通过 display bgp routing-table 命令 检查 各 设备 上 的 BGP 路 
由 信息 ， 看 各 设备 上 是 否 按 预期 学 习 到 了 各 子 网 的 BGP 路 由 。 

# 在 Hub 上 执行 display bgp routing-table 命令 ,检查 Hub 上 的 BGP 路 由 信息 ， 结 
果 如 下 ， 发 现 除了 本 地 引入 的 192.168.0.0/24 路 由 外 ， 以 及 本 地 配置 的 192.168.0.0/16 的 
聚合 路 由 外 ， 还 学 习 到 两 Spoke 子 网 的 明细 路 由 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Hub] display bgp routing-table 


BGP Local router ID is 172.16.1.1 

Status codes: * - valid, > - best, d - damped, 
h-history, 1- internal, s - suppressed, 9 - Stale 
Origin :1- IOGP,e-EGP, ? - incomplete 


Total Number of Routes: 4 
Network NextHop MED LocPrf PrefVal Path/Ogn 


“> 192 168.0.0/16 127.0.0.1 0 2 
s> 192.168.0.0 0.0.0.0 0 0 2 
s> 192.168.1.0 172.16.1.2 0 0 200? 
s> 192.168.2.0 172.16.1.3 0 0 3007 


# 分 别 在 Spokel、Spoke2 上 执行 display bgp routing-table 命令 ， 检 查 两 Spoke 上 
的 BGP 路 由 信息 ， 结 果 如 下 ， 发现 除了 本 地 引入 的 本 地 子 网 路 由 外 ， 只 学 习 到 来 日 Hub 
的 汇聚 路 由 192.168.0.0/116 参 见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel|] display bgp routing-table 


BGP Local router ID is 172.16.1.2 

Status codes: * - valid, > - best, d - damped, 
h-history, i-internal,s - suppressed, S - Stale 
Origin : i- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 
Network NextHop MED LocPrf PrefVal Path/Ogn 


*> 192.168.0.0/16 172.16.1.1 0 100? 
”19.1081.0 0.0.0.0 0 0 2 
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[Spoke2] display bgp routing-table 


BGP Local router ID is 172.16.1.3 

Status codes: * - valid, > - best, d - damped, 
h - history， i- internal, s - suppressed, S - Stale 
Origin : 1- IGP, e - EGP, ? - incomplete 


Total Number of Routes: 2 


Network NextHop MED LocPrf PrefVal Path/Ogn 
*> 192.168.0.0/16 172.16.1.1 0 100? 
*> 192.168.2.0 0.0.0.0 0 0 2 


(2) 检查 各 设备 的 NHRP peer 表 项 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 , 则 会 发 现 Hub 上 已 有 Spokel 和 Spoke2 
的 NHRP peer 表 项 注册 信息 了 , 表明 Spokel 和 Spoke2 已 成 功 在 Hub 上 动态 注册 了 它们 
自己 的 NHRP peer 表 项 了 。 因 为 在 前 面 两 Spoke 的 Tunnel 接口 的 配置 时 了 驶 已 加 了 
“register” 选 项 ， 启 动 了 Spoke 问 Hub 进行 NHRP peer 动态 注册 流程 。 

[Hub] display nhrp peer all 


CC 一 TT 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.2 32 202.1.2.10 172.10.1.2 dynamic route tunnel 


ee ee ee oon es one eee oness oe boosie es oe en ene ees ns en ee es 


Tunnel interface: Tunnel0/0/0 
Created time :02:52:16 


Expire time : 01:37:44 
Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.106.13 dynamic route tunnel 


ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee ee 


Tunnel interface: Tunnel0/0/0 
Created time :02.44.33 
Expire time : 01:45:28 


Number of nhrp peers: 2 
# 分 别 在 Spokel、Spoke2 上 执行 display nhrp peer all 命令 ， 结 果 如 下 ， 发 现 均 只 


有 本 地 静态 配置 的 Hub NHRP peer 表 项 。 


[Spokel] display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


1 /2.10.1.1 32 202.1.1.10 172.10.1.1 static hub 


ene ee ee ee 


Tunnel interface: Tunnel0/0/0 
Created time : 02:55:39 
Expire time : -- 


Number of nhrp peers: 1 
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[Spoke2] display nhrp peer al 


Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 


1 72.16.1.1 32 202.1.1.10 172.10.1.1 static hub 


Te ee ee ee ee ee ee ee ee ee ai Me rp i I ee ame mp mem ee 


Tunnel Interface: Tunnel0/0/0 
Created time : 02:44:17 
Expire time : -- 


Number of nhrp peers: 1 


(3) 在 源 Spoke 上 执行 向 目的 Spoke 的 ping 操作 (Ping 代表 子 网 的 Loopback 接口 
IP 地 址 )， 触 发 源 Spoke 问 目 的 Spoke 发 送 NHRP 解析 请 求 报 文 ， 以 便 相互 学 习 到 对 方 
的 NHRP peer。Ping 操作 完成 后 再 在 Spoke 上 执行 display nhrp peer all 命令 查看 本 地 的 
NHRP peer 表 项 ， 结 果 发 现 两 Spoke 已 学 习 到 对 方 的 两 个 NHRP peer 表 项 了 (参见 输出 
信息 中 的 粗 体 字 部 分 )， 原 因 已 在 7.4.5 节 作 了 分 析 。 


[Spokel] display nhrp peer al 


~ Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


ee ee ee ee eee ee ee ee ee ee ee ee ee es ee eee oe wie tees cote ee oe te mie ee woe eee 


172.16.1.1 3 202.1:1.10 172.136.1.} static hub 
Tunnel interface: Tunnel0/0/0 

Created time : 02:57:04 

Expire time : -- 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic route network 


ee ee ee ee ee ee ee ee ee ee ee ee ee ee eee eae eee pees Topology mm eee 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:17 


Expire time : 01:59:43 
Protocol-addr © Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:17 


Expire time : 01:59:43 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:17 
Expire time :01:59:43 
Number of nhrp peers: 4 


[Spoke2] display nhrp peer all 
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Protocol-addr ”Mask NBMA-addr NextHop-addr Type .Flag 


PO ee ee 


172.16.1.1 32 202.1 1.10 1 /216 static hub 
Tunnel interface: Tunnel0/0/0 
Created time : 02:45:35 


Expire time 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic route network 


Tunnel Interface: Tunnel0/0/0 
Created time : 00:00:31 


Expire time : 01:59:29 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:31 


Expire time ,01 229 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 202.1.3.10 172.16.13 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:31 
Expire time :01:59:29 


Number of nhrp peers: 4 


7.4.8 ”DSVPN NAT 穿越 配置 示例 


如 图 7-26 所 示 ， 某 企业 有 总 部 (Hub) 和 多 个 分 支 《Spokel1、Spoke2......， 举 例 中 
仅 使 用 两 个 分 文 )， 分 布 在 不 同 地 域 ， 分 文 的 子 网 环境 会 经 常 出 现 变 动 。 分 支 也 采用 专线 
Internet 连接 ， 但 是 通过 NAT 设备 进行 地 址 转换 后 接 入 公 网 的 。 企 业 规 划 使 用 OSPF 路 
由 协议 ， 和 希望 能 够 在 实现 分 支 与 总 部 之 间 的 VPN 互联 的 同时 ， 分 支 之 间 也 能 建立 VPN 
互联 。 

1. 基本 配置 思路 分 析 

在 本 示例 中 ， 由 于 各 分 支 是 通过 NAT 设备 进行 IP 地 址 转换 后 接 入 公 网 的 ， 分 支 之 
则 互相 不 知道 对 方 转换 后 的 公 网 IP 地 址 , 因此 必须 部 署 DSVPN NAT 穿越 来 实现 分 支 之 
间 的 VPN 互联 。 但 要 注意 ，DSVPN NAT 穿越 仪 支 持 NAT Server 或 Static NAT 部 署 , 不 
文 持 PAT， 所 以 在 图 7-26 中 Spokel 的 公 网 侧 接口 IP 地 址 要 静态 转换 成 202.1.2.10/24， 
Spoke2 的 公 网 侧 接 口 IP 地 址 要 静态 转换 成 202.1.3.10/24. 

另外 ， 由 于 分 支 数 量 较 多 ， 因 此 采用 shortcut 场景 的 DSVPN。 由 于 分 支 和 总 部 的 子 
网 环境 经 第 出 现 变 动 ， 为 简化 维护 ， 并 根据 企业 网 络 规划 选择 部 署 OSPF 路 由 协议 来 实 
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现 分 文 /总 部 间 的 通信 。 













分 支 1 子 网 Tunnel0/0/0 
192.168.1.0/24 172 16 1 2124 
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7-26 ”DSVPN NAT 和 穿越 配置 示例 的 拓扑 结构 


本 示例 的 基本 配置 思路 如 下 : 
(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 和 NAT 设备 接口 ) 的 IP 地 址 。 


(2) 配置 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 ， 但 要 包 


括 两 Spoke 端的 NAT 设备 在 内 的 各 公 网 侧 接口 网 段 。 


(3) 在 各 NAT 上 配置 NAT Server， 为 各 Spoke 公 网 侧 接口 IP 地址 静态 映射 成 对 应 


的 公 网 卫 地 址 。 


(4) 采用 OSPF 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 


但 路 由 进程 不 要 与 公 网 一 样 。 
(5) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 
2. 基本 配置 步骤 
(1) 配置 各 设备 接口 IP 地 址 。 
# Hub 上 的 配置 。 


<Huawei> system-view 

[Huawei| sysname Hub 

[Hub| interface gigabitethernet 1/0/0 
[Hub-GigabitEthernet1/0/0|] ip address 202.1.1.10 255.255.255.0 
[Hub-GigabitEthemet1/0/0] quit 

[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0|] ip address 172.16.1.1 255.255.255.0 
[Hub-Tunnel0/0/0] quit 

[Hub| interface loopback 0 

[Hub-LoopBack0] ip address 192.168.0.1 255.255.255.0 
[Hub-LoopBack0] quit 


# Spokel 上 的 配置 。 


<Huawel> system-view 
[Huawei| sysname Spokel 
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[Spoke!l | interface gigabitethernet 1/0/0 
[Spokel-GigabitEthernet1/0/0] ip address 10.1.1.1 255.255.255.0 
[Spokel-GigabitEthernet1/0/0] quit 

[Spokel | interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] ip address 172.16.1.2 255.255.255.0 
[Spokel-Tunnel0/0/0] quit 

[Spoke!l | interface loopback 0 

[Spokel-LoopBack0| ip address 192.168.1.1 255.255.255.0 
[Spokel-LoopBack0] quit 


# NAT1 上 的 配置 。 


<Huawel> system-view 

[Huaweil| sysname NATI1 

[INAT1] interface gigabitethernet 1/0/0 
[NAT]1-GigabitEthernet1/0/0| ip address 202.1.2.1 255.255.255.0 
[NAT1-GigabitEthernetl/0/0] quit 

[INAT1] interface gigabitethernet 2/0/0 
[NAT]1-GigabitEthernet2/0/0] ip address 10.1.1.254 255.255.255.0 
INAT1-GigabitEthernet2/0/0] quit 


# Spoke2 上 的 配置 。 


<Huawel> system-view 

[Huawei| sysname Spoke2 

[Spoke2| interface gigabitethernet 1/0/0 
[Spoke2-GigabitEthernet1/0/0|] ip address 10.2.2.2 255.255.255.0 
[Spoke2-GigabitEthernet1/0/0] quit 

[Spoke2| interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0| ip address 172.16.1.3 255.255.255.0 
[Spoke2-Tunnel0/0/0] quit 

[Spoke2| interface loopback 0 

[Spoke2-LoopBack0] ip address 192.168.2.1 255.255.255.0 
[Spoke2-LoopBack0] quit 


NAT2 上 的 配置 。 


<Huawel> system-view 

[Huawei| sysname NAT2 

[INAT2] interface gigabitethernet 1/0/0 
[NAT2-GigabitEthernet1/0/0| ip address 202.1.3.1 255.255.255.0 
[NAT2-GigabitEthernet1/0/0] quit 

[INAT2] interface gigabitethernet 2/0/0 
[NAT2-GigabitEthernet2/0/0] ip address 10.2.2.254 255.255.255.0 
[NAT2-GigabitEthernet2/0/0] quit 


(2) 配置 各 设备 间 公 网 路 由 。 此 时 要 把 Hub 和 各 Spoke 公 网 侧 接 口 ， 以 及 各 NAT 
设备 连接 两 端的 接口 所 在 网 段 都 加 入 到 同一 个 OSPF 路 由 进程 (此 处 为 1 号 进程 ) 下 的 
同一 个 区 域 〈 此 处 为 区 域 1)。 

# Hub 上 的 配置 。 


[Hub] ospf 2 

[Hub-ospf-2| area 0.0.0.1 

[Hub-ospf-2-area-0.0.0.1] network 202.1.1.0 0.0.0.255 

[Hub-ospf-2-area-0.0.0.1] guit 

[Hub-ospf-2] quit 

# NATI1 上 的 配置 。 

[INAT1] ospf 2 

[NAT1] import-route unr #-- 将 NAT 地 址 池 中 的 公 网 PP 地 址 路 由 发 布 到 公 网 中 
[NAT]-ospf-2|] area 0.0.0.1 
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[NAT1-ospf-2-area-0.0.0.1] network 202.1.2.0 0.0.0.255 
[NATI1-ospf-2-area-0.0.0.1] network 10.1.1.0 0.0.0.255 
[INAT1-ospf-2-area-0.0.0.1] quit 

INAT1-ospf-2] quit 


【经 验 提 示 】 当 存 在 NAT 设备 时 ， 从 外 网 发 往 内 网 的 数据 流 的 目的 IP 地 址 是 NAT 
地 址 池 的 公 网 卫 地 址 。 外 网 设备 转发 这 些 回程 流量 时 需要 根据 这 些 公 网 IP 地 址 的 转发 
表 项 进行 转发 ， 也 就 是 说 外 网 设备 需要 有 到 达 这 些 公 网 卫 地 址 的 路 由 ， 这 就 要 求 NAT 
设备 需要 将 NAT 地 址 池 的 路 由 发 布 到 外 网 。 然 而 ，NAT 地 址 池 的 这 些 公 网 卫 地 址 是 由 
NAT 设备 动态 分 配 的 ， 不 能 静态 配置 。 其 实 NAT 设备 在 创建 完 NAT 公 网 IP 地 址 池 后 ， 
便 会 生成 一 个 NAT 公 网 地 址 池 UNR (用 户 网 络 路 由 ) 路 由 ， 只 需要 在 动态 路 由 协议 里 
引入 这 条 UNR 路 由 即 可 ， 这 就 是 import-route unr 命令 的 作用 。 

本 示例 中 虽然 要 求 两 个 Spoke 静态 映射 菜 一 个 公 网 IP 地 址 ， 但 这 个 公 网 IP 地 址 是 
随意 的 ， 要 看 用 户 当 时 拥有 的 公 网 卫 地 址 而 定 。 图 7-25 中 看 似 所 映射 的 公 网 IP ge 
与 NAT 公 网 接口 IP 地 址 在 同一 IP 网 段 ,可 以 直接 通过 公 网 接口 所 在 网 段 进行 路 由 通 
但 这 仅 是 其 中 一 种 可 能 的 情形 ， 还 可 以 是 其 他 任意 公 网 IP 地 址 。 

# NAT2 上 的 配置 。 


[INAT2] ospf 2 

[INAT2] import-route unr 

[INAT2-ospf-2] area 0.0.0.1 

[NAT2-ospf-2-area-0.0.0.1] network 202.1.3.0 0.0.0.255 
[INAT2-ospf-2-area-0.0.0.1] network 10.2.2.0 0.0.0.255 
INAT2-ospf-2-area-0.0.0.1] quit 

[INAT2-ospf-2] quit 

# Spokel 上 的 配置 。 

[Spokel] ospf 2 

[Spoke1-ospf-2] area 0.0.0.1 
[Spoke1-ospf-2-area-0.0.0.1] network 10.1.1.0 0.0.0.255 
[Spokel-ospf-2-area-0.0.0.1] quit 

[Spokel-ospf-2] quit 

# Spoke2 上 的 配置 。 

[Spoke2] ospf 2 

[Spoke2-ospf-2] area 0.0.0.1 
[Spoke2-ospf-2-area-0.0.0.1] network 10.2.2.0 0.0.0.255 
[Spoke2-ospf2-area-0.0.0.1] quit 

[Spoke2-ospf-2] quit 


(3) 配置 NAT Server。 在 NAT 设备 上 配置 好 NAT Server 的 私 网 IP 与 公 网 卫 地 址 
映射 。 也 可 以 采用 静态 NAT 来 配置 。 
# NAT1 上 的 配置 , 把 Spokel 公 网 侧 接口 的 私 网 卫 地 址 10.1.1.1 映射 为 公 网 PP 了 地 


W202.1.2.10, 


[NATI1] interface gigabitethernet 1/0/0 
[NATI1-GigabitEthernet1/0/0|] nat server global 202.1.2.10 inside 10.1.1.1 


# NAT2 上 的 配置 , 把 Spoke2 公 网 侧 接口 的 私 网 卫 地址 10.2.2.2 映射 为 公 网 全 地 
址 202.1.3.10。 


[NAT2| interface gigabitethernet 1/0/0 
[NAT2-GigabitEthernet1/0/0] nat server global 202.1.3.10 inside 10.2.2.2 


(4) 配置 子 网 上 路由， 包括 GRE Tunnel 接口 网 段 和 所 连 内 部 子 网 路 由 。 
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# Hub 上 的 配置 。 


[Hub] ospf 1 router-id 172.16.1.1 

[Hub-ospf-1| area 0.0.0.0 

[Hub-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.253 
[Hub-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.235 
[Hub-ospf-1-area-0.0.0.0] quit 

[Hub-ospf-1] quit 


# Spokel 上 的 配置 。 


[Spokel] ospf 1 router-id 172.16.1.2 

[Spokel-ospf-1] area 0.0.0.0 

[Spokel-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 
[Spokel-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 
[Spokel-ospf-1-area-0.0.0.0] quit 

[Spokel-ospf-1| quit 


# Spoke2 上 的 配置 。 


[Spoke2] ospf 1 router-id 172.16.1.3 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] quit 

[Spoke2-ospf-1] quit 

(5) 配置 mGRE Tunnel 接口 和 NHRP 协议 。 

在 shortcut 场景 中 ， 要 把 Hub 和 Spoke mGRE Tunnel 接口 的 OSPF 网 络 类 型 配置 为 
P2MP 类 型 ， 并 且 配 置 Hub 的 mGRE Tunnel 接口 的 DR 优先 级 最 高 ， 以 实现 统一 由 Hub 
对 各 Spoke 间 进 行路 由 通告 , Spoke ( 非 DR) 间 不 相互 进行 路 由 通告 。 在 Hub 使 能 NHRP 
Redirect 功能 ， 使 能 接收 Spoke 的 NHRP 动态 注册 功能 ， 配 置 最 高 的 DR 优先 级 值 〈 此 
处 为 100); 在 Spokel 和 Spoke2 上 分 别 配置 Hub 的 静态 NHRP peer 表 项 ， 并 使 能 NHRP 
Shortcut 功能 ， 配 置 最 低 的 DR 优先 级 值 〈 此 处 为 0)。 

# Hub 上 的 配置 。 


[Hub| interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Hub-Tunnel0/0/0] souree gigabitethernet 1/0/0 
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic 
[Hub-Tunnel0/0/0] ospf network-type p2mp 
[Hub-Tunnel0/0/0] ospf dr-priority 100 
[Hub-Tunnel0/0/0] nhrp redirect 
[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


[Spokel | interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spokel-Tunnel0/0/0] ospf network-type p2mp 
[Spokel-Tunnel0/0/0] ospf dr-priority 0 

[Spoke1-Tunnel0/0/0] nhrp shortcut 

[Spokel-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


[Spoke2] interface tunnel 0/0/0 
[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0|] source gigabitethernet 1/0/0 
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[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] ospf network-type p2mp 
[Spoke2-Tunnel0/0/0] ospf dr-priority 0 

[Spoke2-Tunnel0/0/0] nhrp shortcut 

[Spoke2-Tunnel0/0/0] quit 


3. 配置 结果 验证 。 

以 上 配置 完成 后 ， 可 以 正式 进行 最 终 的 实验 结果 验证 了 。 

(1) 检查 各 设备 上 的 NHRP peer 表 项 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 ， 检查 Hub 上 Spokel 和 Spoke2 的 注册 
信息 ， 发 现 均 已 注册 成 功 ， 但 NHRP peer 表 项 中 的 公 网 IP 地 址 是 两 Spoke 经 NAT 转换 
后 的 公 网 IP 地 址 。 


[Hub| display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.16.1 2 32 202:4.2.10 172.16.1.2 dynamic route tunnel 
Tunnel interface: Tunnel0/0/0 

Before NAT NBMA-addr: 10.1.1.1 

Created time : 00:00:12 


Expire time : 01:59:58 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.10.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Before NAT NBMA-addr: 10.2.2.2 
Created time : 00:00:05 

Expire time :01:59:55 


Number of nhrp peers: 2 
# 分 别 在 两 Spoke 上 执行 display nhrp peer all 命令 , 检查 两 Spoke 上 的 NHRP peer 


表 项 信息 ， 结 果 发 现 均 只 ee 
个 示例 中 有 介绍 ， 在 此 不 再 闭 述 。 


[Spokel |] display nhrp peer al 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.106.1.! 3 207.1.1.10 1 /2.16.1 .1 static hub 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:24:07 
Expire time : -- 


Number of nhrp peers: 1 


[Spoke2] display nhrp peer all 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 
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172 .101.] 3 202.1.1.10 172.16.4.4 static hub 


en se ed ee 


Tunnel interface: Tunnel0/0/0 
: 00:21:56 
Expire time : -- 


Created time 


Number of nhrp peers: 1 


(2) 检查 各 设备 的 子 网 路 由 配置 。 
# 在 Hub 上 执行 display ospf 1 routing 命令 ,结果 发 现 Hub 上 已 成 功 学 习 到 了 各 子 
网 (包括 各 设备 上 mGRE Tunnel 接口 所 在 子 网 ) 的 OSPF 路 由 。 


[Hub] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.1 


Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter Area 

172.16.1.1/32 0 Stub 172.1061.1 172.101.! 0.0.0.0 

172.196.1.2/32 1562 Stub 172.16.1.2 172.16.1.2 0.0.0.0 

172.16.1.3/32 1562 Stub 172.16.1.3 1121613 0.0.0.0 
192.168.0.1/32 0 Stub 172.16.1.1 172.16.1.1 0.0.0.0 

192.168.1.1/32 1562 Stub 172.16.12 172.16.12 0.0.0.0 

192.168.2.1/32 1562 Stub po 172.10.1.3 0.0.0.0 


Total Nets: 6 
Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


# 分 别 在 两 Spoke 上 执行 display ospf 1 routing 命令 ， 检 查 Spoke 上 的 OSPF 路 由 
信息 ， 结 果 发 现 两 Spoke 均 已 学 习 到 了 其 他 端子 网 。 但 是 要 注意 的 是 ， 除 了 各 设备 上 的 
本 地 子 网 路 由 外 , 其 他 子 网 路 由 均 是 从 Hub 上 学 习 到 的 , 它们 的 下 一 跳 均 为 Hub 的 mGRE 
Tunnel 接口 IP 地 址 ， 因 为 在 shortcut 场景 中 ， 各 Spoke 均 只 从 Hub 进行 路 由 信息 交换 。 


[Spokel] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.2 


Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter Area 

172.16.1.2/32 0 Stub 172.16.1.2 172.16.1.2 0.0.0.0 

192.168.1.1/32 0 Stub 192.168.1.1 172.16.1,2 0.0.0.0 

172.161 .132 1562 Stub 172.16.1.1 172.101.1 0.0.0.0 
192.168.0.1/32 1562 Stub 172.16.1.1 1 72.10.1 .1 0.0.0.0 

172.16,1.3/32 3124 Stub 721601.1 172 40.13 0.0.0.0 

192.168.2.1/32 3124 Stub 172.16.1.] 172.16.1.3 0.0.0.0 


Total Nets: 6 
Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


[Spoke2] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.3 
Routing Tables 
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Routing for Network 

Destination Cost Type NextHop AdvRouter Area 

172.16.1.3/32 0 Stub 172.16.1.3 172.16.1.3 0.0.0.0 

192.168.2.1/32 0 Stub 192.168.2.1 172.16.1.3 0.0.0.0 

1 712.16.1.1/32 1562 Stub 1 1 2.6.1 .1 :10 0.0.0.0 
192.168.0.1/32 1562 Stub 172.16.1.1 172.16.1.1 0.0.0.0 

172.16.1.2/32 3124 Stub 172.16.1.| 1 /2.10.1.2 0.0.0.0 

192.168.1.1/32 3124 Stub 172.16.1.1 172 .160612 0.0.0.0 


Total Nets: 6 
Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


(3) 在 源 Spoke 上 执行 问 目 的 Spoke 的 ping 操作 (Ping 代表 子 网 的 Loopback 接口 
IP 地 址 )， 触 发 源 Spoke 回 目 的 Spoke 发 送 NHRP 解析 请 求 报 文 ， 以 便 相互 学 习 到 对 方 
的 NHRP peer。Ping 操作 完成 后 再 在 Spoke 上 执行 display nhrp peer all 命令 得 看 本 地 的 
NHRP peer 表 项 ， 结 果 发 现 两 Spoke 已 学 习 到 对 方 的 两 个 NHRP peer 表 项 了 参见 输出 
言 息 中 的 粗 体 字 部 分 )， 原 因 与 7.4.5 节 介 绍 的 配置 示例 中 的 分 析 一 样 。 
[Spokelj display nhrp peer all 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


17216.1.1 32 202.1.1.10 1/2.161!1 static hub 
Tunnel interface: Tunnel0/0/0 

Created time : 00:39:32 

Expire time : -- 


Protocol-addr “ Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic route network 
Tunnel interface: Tunnel0/0/0 

Before NAT NBMA-addr: 10.2.2.2 

Created time : 00:00:13 


Expire time : 01:59:47 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Before NAT NBMA-addr: 10.2.2.2 
Created time : 00:00:13 


Expire time : 01:59:47 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 9 1 ] 72.10.1.2 dynamic local 


Tunnel Interface: Tunnel0/0/0 
Created time : 00:00:13 
Expire time : 01:59:47 


Number of nhrp peers: 4 
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[Spoke2| display nhrp peer all 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


一 -一 一 -一 一 一 -一 一 一 一 一 一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


1 ,2.160.1.| 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 00:41:08 


Expire time 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic route network 


一 -- 一 一 一 -一 一 一 -一 一 一 一 一 一 一 -一 -一 一 一 -一 一 一 -一 -一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 -一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Before NAT NBMA-addr: 10.1.1.1 
Created time : 00:00:52 


Expire time : 01:59:08 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Before NAT NBMA-addr: 10.1.1.1 
Created time 00:00:52 


Expire time : 01:59:08 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 10222 1/2.161.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:52 
Expire time : 01:59:08 


Number of nhrp peers: 4 


7.4.9” 双 Hub DSVPN 配置 示例 


如 图 7-27 所 示 , 某 大 型 企业 有 总 部 (Hubl 和 Hub2) 和 多 个 分 支 (Spokel1、Spoke2..…..， 
举例 中 仅 使 用 两 个 分 文 )， 分 布 在 不 同 地 域 ， 总 部 和 分 支 的 子 网 环境 会 经 常 出 现 变动 。 分 
支 采 用 动态 地 址 接 入 公 网 ,企业 规划 使 用 OSPF 路 由 协议 ,希望 能 够 实现 分 支 之 间 的 VPN 
互联 ， 且 Hubl 作为 主 用 Hub，Hub2 作为 备用 Hub， 在 Hubl 故障 时 接管 协议 报 文 的 转 
及， 在 Hubl 故障 恢复 后 继续 见 余 备份 。 

1. 基本 配置 思路 分 析 

本 示例 是 双 Hub 相互 见 余 的 DSVPN 配置 ， 其 实 总 体 与 单 Hub 的 配置 差不多 ， 不 同 
的 只 是 要 在 各 Spoke 上 同时 为 两 个 Hub 配置 静态 NHRP peer 表 项 , 并 发 起 NHRP 注册 请 
求 , 然后 在 各 Spoke 上 配置 到 达 Hubl 比 到 达 Hub2 具有 更 高 优先 级 的 路 由 , 实现 以 Hubl 
为 主 用 Hub，Hub2 为 备用 Hub。 但 要 注意 ， 两 Hub 的 公 网 IP 地址 必须 在 不 同 IP 网 段 。 
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图 7-27 双 Hub DSVPN 配置 示例 的 拓扑 结构 


由 于 分 文 数 量 较 多 ， 因 此 采用 shortcut 场景 的 DSVPN。 由 于 分 文 和 总 部 的 子 网 环境 
经 常 出 现 变 动 ， 为 简化 维护 ， 并 根据 企业 网 络 规划 选择 部 团 OSPF 路 由 协议 来 实现 分 支 / 
总 部 间 的 通信 。 

本 示例 的 基本 配置 思路 如 下 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 I 了 P 地址 。 

(2) 配置 两 Hub 和 两 Spoke 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 

(3) 采用 OSPF 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 
但 路 由 进程 不 要 与 公 网 一 样 。 

(4) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 但 为 了 使 Hubl 成 为 主 用 
Hub, 要 把 Hubl 的 mGRE Tunnel 接口 的 OSPF 链 路 开销 设置 的 比 Hub2 的 mGRE Tunnel 
接口 的 OSPF 链 路 开销 小 ， 使 Spoke 优先 选择 Hubl 进行 通信 。 

2 具体 配置 步骤 

(1) 配置 各 设备 的 各 接口 〈 包 括 Tunnel 接口 ) 卫 地 址 。 

【经 验 提示 】 两 Hub 的 公 网 IP 地 址 不 能 在 同一 IP 网 段 ， 否 则 当主 Hub 故障 后 ， 备 
用 Hub 只 进行 数据 转发 ，Spoke 间 无 法 建立 隧道 ， 因 为 此 时 Spoke 上 仍然 会 保持 原来 到 
达 主 Hub 公 网 IP 地 址 对 应 的 网 段 路 由 ， 仍 将 通过 出 现 故 障 的 主 用 Hub 来 尝试 建立 VPN 
隧道 ， 最 终 造 成 Spoke 的 子 网 间 无 法 建立 VPN 隧道 ， 无 法 进行 通信 。 

# Hubl 上 的 配置 。 

<Huawel> system-view 

[Huawei] sysname Hubl 

[Hub1l] interface gigabitethernet 1/0/0 

[Hub1-GigabitEthernet1/0/0] ip address 202.1.1.10 255.255.255.0 

[Hub]1-GigabitEthernet1/0/0] quit 


[Hubl] interface tunnel 0/0/0 
[Hub1-Tunnel0/0/0] ip address 172.16.1.1 255.255.255.0 
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[Hub1-Tunnel0/0/0] quit 

[Hubl] interface loopback 0 

[Hub1-LoopBack0] ip address 192.168.0.1 255.255.255.0 
[Hub1-LoopBack0] quit 


# Hub2 上 的 配置 。 


<Huawel> system-view 

[Huawei] sysname Hub2 

[Hub2] interface gigabitethernet 1/0/0 
[Hub2-GigabitEthernet1/0/0] ip address 202.1.254.10 255.255.255.0 
[Hub2-GigabltEthernet1/0/0] quit 

[Hub2] interface tunnel 0/0/0 

[Hub2-Tunnel0/0/0] ip address 172.16.1.254 255.235.235.0 
[Hub2-Tunnel0/0/0] quit 

[Hub2] interface loopback 0 

[Hub2-LoopBack0| ip address 192.168.0.2 255.255.255.0 
[Hub2-LoopBack0] quit 


# ”Spokel 上 的 配置 。 


<Huawel> system-view 

[Huawei] sysname Spokel 

[Spokel | interface gigabitethernet 1/0/0 
[Spoke1-GigabltEthernet1/0/0] ip address 202.1.2.10 255.255.255.0 
[Spokel-GigabitEthernet1/0/0] quit 

[Spokel] interface loopback 0 

[Spokel-LoopBack0|] ip address 192.168.1.1 255.255.255.0 
[Spoke1-LoopBack0] quit 

[Spokel] interface tunnel 0/0/0 

[Spoke1-Tunnel0/0/0] ip address 172.16.1.2 255.255.255.0 
[Spoke1-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


<Huawel> system-view 

[Huawei| sysname Spoke2 

[Spoke2| interface gigabitethernet 1/0/0 
[Spoke2-GigabitEthernet1/0/0] ip address 202.1.3.10 255.255.255.0 
[Spoke2-GigabitEthernet1/0/0] quit 

[Spoke2|] interface loopback 0 

[Spoke2-LoopBack0| ip address 192.168.2.1 255.255.255.0 
[Spoke1-LoopBack0] quit 

[Spoke2] interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] ip address 172.16.1.3 255.255.255.0 
[Spoke2-Tunnel0/0/0| quit 


(2) 配置 各 设备 间 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 。 
# 在 Hubl 配置 OSPF。 


[Hub]| ospf 2 

[Hub1-ospf-2] area 0.0.0.1 

[Hub1-ospf-2-area-0.0.0.1] network 202.1.1.0 0.0.0.255 
[Hub1-ospf-2-area-0.0.0.1] quit 

[Hub1-ospf-2] quit 

# 在 Hub2 配置 OSPF。 

[Hub2] ospf 2 

[Hub2-0spf-2] area 0.0.0.1 

[Hub2-0ospf-2-area-0.0.0.1] network 202.1.254.0 0.0.0.255 
[Hub2-ospf-2-area-0.0.0.1] quit 

[Hub2-ospf2] quit 
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# 在 Spokel 配置 OSPF。 

[Spokelj ospf 2 

[Spoke1-ospf-2] area 0.0.0.1 

[Spokel1-ospf-2-area-0.0.0.1] network 202.1.2.0 0.0.0.255 

[Spoke1-ospf-2-area-0.0.0.1] quit 

[Spokel-ospf-2] quit 

# 在 Spoke2 配置 OSPF。 

[Spoke2] ospf 2 

[Spoke2-ospf-2] area 0.0.0.1 

[Spoke2-ospf-2-area-0.0.0.1] network 202.1.3.0 0.0.0.255 

[Spoke2-ospf-2-area-0.0.0.1] quit 

[Spoke2-ospf-2] quit 

(3) 配置 各 子 网 路 由 。 

包括 各 设备 上 的 GRE Tunnel 接 口 所 在 网 段 和 所 连 私 网 网 段 , 也 采用 OSPF 路 由 协议 ， 
但 路 由 进程 号 一 定 不 能 与 前 面 配 置 的 公 网 OSPF 路 由 进程 号 一 样 。 

# 配置 Hubl。 


[Hubl] ospf 1 router-id 172.16.1.1 

[Hubl-ospf-1] area 0.0.0.0 

[Hubl1-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 
[Hubl-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 
[Hubl-ospf-1-area-0.0.0.0] guit 

[Hubl-ospf-1] quit 

# 配置 Hub2。 


[Hub2] ospf 1 router-id 172.16.1.254 

[Hub2-ospf-1] area 0.0.0.0 

[Hub2-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 
[Hub2-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255 
[Hub2-ospf- 1-area-0.0.0.0] quit 

[Hub2-ospf-1] quit 

# 配置 Spokel。 


[Spokel] ospf 1 router-id 172.16.1.2 

[Spokel-ospf-1] area 0.0.0.0 

[Spokel-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Spokel1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 

[Spokel]-ospf-1-area-0.0.0.0] quit 

[Spokel-ospf-1|] quit 

# 配置 Spoke2。 

[Spoke2] ospf 1 router-id 172.16.1.3 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] guit 

[Spoke2-ospf-1] quit 

(4) 配置 mGRE Tunnel 接口 和 NHRP 协议 。 

在 Hub 和 Spoke 配置 OSPF 网 络 类 型 为 p2mp， 以 实现 分 支 仅 从 总 部 学 习 路 由 。 在 
Hubl 和 Hub2 使 能 NHRP Redirect 功能 ,配置 Hubl 的 mGRE Tunnel 接 口 的 开销 小 于 Hub2 
的 mGRE Tunnel 接口 的 开销 ， 使 Spoke 优先 选择 Hubl 进行 NHRP 解析 。 在 Spokel 和 
Spoke2 上 分 别 配置 Hubl 和 Hub2 的 静态 NHRP peer 表 项 ， 并 使 能 NHRP Shortcut 功能 。 

# Hubl 上 的 配置 。 
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[Hubl] interface tunnel 0/0/0 

[Hub1-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Hub1-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Hubl-Tunnel0/0/0] nhrp entry multicast dynamic 

[Hub1-Tunnel0/0/0] ospf network-type p2mp 

[Hub1-Tunnel0/0/0] ospf cost 1000”#--- 配 置 mGRE Tunnel 接口 的 开销 值 为 1000， 小 于 Hub2 的 
[Hub1-Tunnel0/0/0] nhrp redirect 

[Hub1l-Tunnel0/0/0] quit 


# Hub2 上 的 配置 。 


[Hub2] interface tunnel 0/0/0 

[Hub2-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Hub2-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Hub2-Tunnel0/0/0] nhrp entry multicast dynamic 

[Hub2-Tunnel0/0/0] ospf network-type p2mp 

[Hub2-Tunnel0/0/0] ospf cost 3000”#--- 配 置 mGRE Tunnel 接口 的 开销 值 为 3000， 大 于 Hub2 的 
[Hub2-Tunnel0/0/0] nhrp redirect 

[Hub2-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


[Spokelj interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 

[Spokel-Tunnel0/0/0] source gigabitethernet 1/0/0 

[Spoke1-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 

[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.254 202.1.254.10 register 

[Spokel-Tunnel0/0/0] ospf network-type p2mp 

[Spokel-Tunnel0/0/0] nhrp shortcut 

[Spoke1-Tunnel0/0/0] nhrp registration interval 300 ”##-- 配 置 相 邻 两 次 NHRP 注册 的 时 间 间 隔 为 300 秒 ， 目 的 是 尽快 
让 Sopke 重新 学 习 故 障 之 后 的 主 用 Hub 路 由 

[Spoke1-Tunnel0/0/0] quit 


# 在 Spoke2 上 配置 Tunnel 接口 ，OSPF 路 由 相关 属性 以 及 Hubl 和 Hub2 的 静态 


NHRP peer 表 项 ， 使 能 NHRP Shortcut 功能 。 


[Spoke2] interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0| nhrp entry 172.16.1.254 202.1.254.10 register 
[Spoke2-Tunnel0/0/0] ospf network-type p2mp 
[Spoke2-Tunnel0/0/0|] nhrp shortcut 

[Spoke2-Tunnel0/0/0] nhrp registration interval 300 
[Spoke2-Tunnel0/0/0] quit 






“在 Hubl 和 Hub2 配置 不 同 的 ospf cost 值 是 为 了 让 Spoke 优先 选取 Hubl 作为 路 由 
的 下 一 跳 。 

在 Hubl 从 故障 中 恢复 之 后 ， 只 有 等 到 Spoke 再 向 其 进行 注册 之 后 ， 才 能 重新 进行 
OSPF 协议 报 文 交互 ，Spoke 也 只 有 原 有 路 由 老化 之 后 才 会 学 习 到 Hubl 的 路 由 。 为 了 让 
Spoke 快速 感知 Hub1， 可 以 将 Spoke 的 注册 间隔 调整 到 合适 的 值 (默认 注册 间隔 为 1800s) 。 


3. 配置 结果 验证 
(1) 验证 各 设备 上 的 NHRP peer 表 项 信息 。 
# 分 别 在 Hub1、Hub2 上 执行 display nhrp peer all 命令 ， 检 查 两 Hub 上 的 Spokel 
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和 Spoke2 的 注册 信息 ， 发 现 均 已 成 功 注 册 。 


[Hub] | display nhrp peer all 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr Mask NBMA-addr NextHop-addr Type 
172.1613 32 202.1.3.10 172.1613 dynamic 
Tunnel interface: Tunnel0/0/0 

Created time :90259.52 

Expire time : 0159:12 

Protocol-addr ”Mask NBMA-addr NextHop-addr Type 
172.16.1.2 32 202.1.2.10 172.1012 dynamic 
Tunnel interface: Tunnel0/0/0 

Created time : 02:59:32 

Expire time : 01:59:09 

Number of nhrp peers: 2 

[Hub2] display nhrp peer al 

Protocol-addr Mask NBMA-addr NextHop-addr Type 
172.16.1.3 32 202.1.3.10 172.16.1,3 dynamic 
Tunnel interface: Tunnel0/0/0 

Created time : 00:21:09 

Expire time : 01:59:51 

Protocol-addr © Mask NBMA-addr NextHop-addr Type 
172.146.1.2 32 202.1.2.10 172.1012 dynamic 


Tunnel interface: Tunnel0/0/0 
Created time : 00:14:13 
Expire time : 01:59:48 


Number of nhrp peers: 2 


# 分 别 在 Spoke1、Spoke2 上 执行 display nhrp peer all 命令 ， 此 时 也 只 有 在 本 地 为 
两 Hub 静态 配置 的 NHRP peer 表 项 。 


[Spokel| display nhrp peer all 


Protocol-addr ”Mask NBMA-addr NextHop-addr Type 
172.16.1.1 32 202.1.1 1 172.10.11 static 
Tunnel interface: Tunnel0/0/0 

Created time :0335:50 

Expire time : -- 

Protocol-addr Mask NBMA-addr NextHop-addr Type 





Flag 


route tunnel 


Flag 


route tunnel 


Flag 


route tunnel 


Flag 


route tunnel 


Flag 


hub 


Flag 
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172.16.1.254 232 202.1.254.10 172.16.1.254 static hub 


-一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel Interface: Tunnel0/0/0 
Created time : 04:32:49 
Expire time : -- 


Number of nhrp peers: 2 


[Spoke2| display nhrp peer all 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


Eo ee es ee ns ee ee en esse eee ee ee ee 


172..6.1.1 32 202.1.1.10 172.0.11 static hub 


CCC 


Tunnel interface: Tunnel0/0/0 
Created time : 05:30:30 
Expire time : -- 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 


172.16.1.254 32 202.1.254.10 172.16.1.254 static hub 


Tunnel interface: Tunnel0/0/0 
Created time :04:33:14 
Expire time : -- 


Number of nhrp peers: 2 


(2) 检查 各 子 网 的 OSPF 路 由 信息 。 

# 分 别 在 Hub1、Hub2 上 执行 display ospf 1 routing 命令 ， 检 查 两 Hub 上 的 OSPF 
路 由 信息 ， 发 现 均 已 成 功 学 习 到 了 各 子 网 (包括 各 mGRE Tunnel 接口 子 网 ) OSPF 路 由 
言 鼠 。 


[Hubl | display ospf 1 routing 


OSPF Process ] with Router ID 172.16.1.1 


Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter Area 
172 .16.1.1/32 0 . Stub 172.16.11 “172.16.1.1 0.0.0.0 
172 .16.12/32 1000 Stub 172.16.1.2 172.1612 0.0.0.0 
172.16.1 3/32 5562 Stub 172.16.1.2 172.16.13 0.0.0.0 
172.16.1.254/32 2562 Stub 172.16.1.2 172.16.1.254 0.0.0.0 
192.168.1.1/32 1000 Stub 172.16.1.2 1712.16.1.2 0.0.0.0 


192.168.2.1/32 5562 Stub ] ,2.16. .2 172.16.13 0.0.0.0 


Total Nets: 6 
Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


[Hub2| display ospf 1 routing 


OSPF Process ] with Router ID 172.16.1.254 
Routing Tables 
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Routing for Network 

Destination Cost Type NextHop AdvRouter Area 
17216.1 254/32 0 Stub 172.16.1.254 172.16.1.254 0.0.0.0 
172161.1/32 4562 Stub 172.16.1 3 172.16.1.1 0.0.0.0 
172.16.1.2/32 5562 Stub 172.16.1.3 172.16.1.2 0.0.0.0 
172.16.1.3/32 3000 Stub 172 1606.13 172 .16.13 0.0.0.0 
192.168.1.1/32 5562 Stub 172.16.1 3 172.16.1.2 0.0.0.0 
192.168.2.1/32 3000 Stub 172.16.13 172.16.1.3 0.0.0.0 


Total Nets: 6 
Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


# 分 别 在 Spokel、Spoke2 上 执行 display ospf 1 routing 命令 ,检查 两 Spoke 上 的 各 
子 网 (包括 各 mGRE Tunnel 接口 子 网 ) OSPF 路 由 信息 , 发 现 也 已 有 到 达 各 子 网 的 OSPF 
路 由 信息 。 而 且 两 Spoke 间 学 习 的 路 由 下 一 跳 均 为 Hubl 的 mGRE Tunnel 接口 IP 地 址 
(参见 输出 信息 中 的 粗 体 字 部 分 )， 证 明 此 时 Hubl 上 是 主 用 Hub。 


[Spokelj display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.2 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.2/32 0 Stub 172.106.1.2 172.16.12 0.0.0.0 
192.168.1.1/32 0 Stub 192.168.1.1 172.16.1.2 0.0.0.0 
i172.16.1.1/32 1562 Stub 172.16.1.! 172.16.1.1 0.0.0.0 
172.16.1.3/32 2562 Stub 172.16.1.1 172.16.1.3 0.0.0.0 
172.16.1.254/32 1562 Stub 172.16.1.254 172.16.1.254 0.0.0.0 
192.168.2.1/32 2562 Stub 172.16.1.1 172.16.1.3 0.0.0.0 
Total Nets: 6 


Intra Area:6 Inter Area:0 ASE:0 NSSA:0 


[Spoke2]| display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.3 


Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter Area 
172.16.1.3/32 0 Stub 172.16.1.3 172.16.13 0.0.0.0 
192.168.2.1/32 0 Stub 192.1682.! ] /2.16.1.3 0.0.0.0 
172.16.1.1/32 1562 Stub I72 i101! 172 1611! 0.0.0.0 
172.16.1.2/32 2562 Stub 172.16.1.1 172.16.1.2 0.0.0.0 
172.16.1.254/32 1562 Stub 172.16.1.254 172.16.1.254 0.0.0.0 
192.168.1.1/32 2562 Stub 172.16.1.1 172.16.1.2 0.0.0.0 


Total Nets: 6 
Intra Area: 6 . Inter Area:0 ASE:0 NSSA:0 


(3) 在 源 Spoke 上 执行 向 目的 Spoke 的 ping 操作 〈Ping 代表 子 网 的 Loopback 接口 
IP 地 址 )， 触 发 源 Spoke 向 目的 Spoke 发 送 NHRP 解析 请 求 报 文 ， 以 便 相 互 学 习 到 对 方 
的 NHRP peer。Ping 操作 完成 后 再 在 Spoke 上 执行 display nhrp peer all 命令 得 看 本 地 的 
NHRP peer 表 项 ， 结 果 发 现 两 Spoke 已 学 习 到 对 方 的 两 个 NHRP peer 表 项 了 (参见 输出 
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言 奶 中 的 粗 体 字 部 分 )。 
[Spokel| display nhrp peer al 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time * 0542.50 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.254 32 202.1.254.10 172.16.1.254 static hub 


ne ee es ee se en ee ns ee ne on boone oo omc toe sc scsi ne een ee es es ee ee ne en 


Tunnel interface: Tunnel0/0/0 
Created time : 04:39:49 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic route network 


-一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 -- 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:19 


Expire time : 01:59:4] 
Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 
172.10.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:19 


Expire time : 01:59:41 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic local 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:19 
Expire time : 01:59:41 


Number of nhrp peers: $ 


[Spoke2] display nhrp peer al 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 


1 2 2.16.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 05:43:19 
Expire time : -- 
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Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


一 - 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


172.101254 32 202.1.254.10 172 16.1 254 static hub 
Tunnel interface: Tunnel0/0/0 

Created time : 04:40:03 

Expire time : -- 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic route network 


Tunnel 1nterface: Tunnel0/0/0 
Created time : 00:00:45 


Expire time 04:59:15 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:45 


Expire time 159:]3 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 202.13.10 172 .1606.1.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:45 
Expire time :01:59:15 


Number of nhrp peers: 5 


(4) 验证 Hub2 的 备份 作用 。 

在 Hubl 上 关闭 公 网 物理 接口 GE1/0/0, 检查 两 Spoke 间 学 习 的 OSPF 路 由 表 项 ， 奴 
现下 一 跳 变 成 Hub2 的 mGRE Tunnel 接口 IP 地 址 了 (参见 输出 信息 中 的 粗 体 学 部 分 )， 
此 时 证 明 Hub2 已 接管 Hubl 的 工作 了 ， 其 备份 作用 得 到 了 体现 了 。 


# 在 Spokel 上 执行 display ospf 1 routing 操作 ， 结 果 如 下 。 
[Spokelj display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.2 
Routing Tables 


Routing for Network 


Destination Cost Type NextHop AdvRouter Area 
172.16.1.2/32 0 Stub 172.16.1.2 172.16.12 0.0.0.0 
192.168.1.1/32 0 Stub 192.168.1.1 172.16.1.2 0.0.0.0 
172.16.1.3/32 4562 Stub 172.16.1.254 172.16.1.3 0.0.0.0 
172.16.1.254/32 1562 Stub 172.16.1.254 172.16.1.254 0.0.0.0 
192.168.2.1/32 4562 Stub 172.16.1.2S4 172.16.1.3 0.0.0.0 


Total Nets: 5 
Intra Area: $5 Inter Area:0 ASE:0 NSSA: 0. 
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[Spoke2] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.3 


Routing Tables 

Routing for Network 

Destination Cost Type NextHop AdvRouter Area 
172:10.13/32 0 Stub 172.16.1,3 172.16.1.3 0.0.0.0 
192.168.2.1/32 0 Stub 192.168.2.1 172.16.1.3 0.0.0.0 
172.16.1.2/32 4562 Stub 172.16.1.254 172.16.1.2 0.0.0.0 
172.16.1.254/32 1562 Stub 172.16.1.254 172.16.1.254 0.0.0.0 
192.168.1.1/32 4562 Stub 172.16.1.254 172.16.1.2 0.0.0.0 


Total Nets: $ 
Intra Area: 9 Inter Area:0 ASE:0 NSSA:0 


(5) 先 在 两 Spoke 上 执行 undo nhrp peer 命令 来 清除 两 Spoke 上 原来 已 经 存在 的 动 
态 NHRP peer 表 项 〈 不 再 删除 静态 NHRP peer 表 项 )。 

然后 再 在 Spokel 上 ping 分 文 Spoke2 的 子 网 地 址 192.168.2.1, 则 在 Spokel 和 Spoke2 
上 也 可 以 分 别 看 到 彼此 所 连 的 两 个 子 网 的 动态 NHRP peer 表 项 (参见 输出 信息 中 的 粗 体 
字 部 分 )。 表 明 通 过 Hub2 也 可 以 实现 Spoke 间 的 VPN 通信 。 

[Spokel | display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


i172.10.1.! 32 202. 1.1.10 i ol static hub 


Tunnel Interface: Tunnel0/0/0 
Created time : 05:46:29 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.254 32 202.1.254.10 172.16.1.254 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 04:43:28 
Expire time : -- 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic route network 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:22 


Expire time :01:59.38 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
72.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:22 
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Expire time :01:59:38 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 Ii/2.10 .1.2 dynamic local 


ee ee ee ee ee ee oe ee oe ee ee ee ee ee ee 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:22 
Expire time : 01:59:38 


Number of nhrp peers: 5 


[Spoke2] display nhrp peer al 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172:16.1.1 32 202.1.1.19 1 216. .1 static hub 


一 一 一 一 一 一 一 一 一 -一 一 一 -- 一 一 -一 一 一 一 一 一 一 一 -一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 05:46:54 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.254 32 202.1.254.10 172.16.1.254 static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 04:43:38 


Expire time : -- 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.1.1 32 202.1.2.10 172.16.1.2 dynamic route network 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:43 


Expire time :01:59:17 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 .312.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:43 


Expire time ;01:39:17 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 
192.168.2.1 32 202.1.3.10 172.16.1.3 dynamic local 


Tunnel nterface: Tunnel0/0/0 
Creatcd tiime : 00:00:43 
Expire time : 01:59:17 


Number of nhrp peers: 5 
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7.4.10 ”DSVPN over IPSec 配置 示例 


如 图 7-28 所 示 ， 某 大 型 企业 有 总 部 (Hub) 和 多 个 分 支 (Spokel、Spoke2......， 举 
例 中 仅 使 用 两 个 分 文 )， 分 布 在 不 同 地域 ， 总 部 和 分 支 的 子 网 环境 会 经 常 出 现 变 动 ， 分 文 
采用 动态 地 址 接 入 公 网 。 企 业 规 划 使 用 OSPF 路 由 协议 ， 希望 能 够 实现 分 支 之 间 的 VPN 
互联 ， 同 时 对 总 部 和 分 文 机 构 以 及 分 文 机 构 间 传输 的 数据 进行 加 密 保护 。 

1. 基本 配置 思路 分 析 

同样 ， 由 于 分 文 是 采用 动态 地 址 接 入 公 网 的 , 分 文 之 间 互 相 不 知道 对 方 的 公 网 地 址 ， 
因此 必须 采用 DSVPN 来 实现 分 支 之 间 的 VPN 互联 。 由 于 分 支 数量 较 多 ， 因 此 采用 
shortcut 场景 的 DSVPN。 由 于 分 文 和 总 部 的 子 网 环境 经 常 出 现 变动 ， 为 简化 维护 ， 并 根 
据 企 业 网 络 规划 选择 部 团 OSPF 路 由 协议 来 实现 分 文 /总 部 间 的 通信 。 但 由 于 需要 对 机 构 
之 间 的 传输 数据 进行 加 密 保护 ， 因 此 采用 配置 IPSec 保护 的 DSVPN 来 实现 该 功能 。 本 
示例 假设 采用 非 shortcut 场景 。 









分 支 1 子 网 Tunnel0/0/0 
192.168.1.0/24 172 16 1 2/24 
> GE1/0/0 
202.1.2.10/24 
ne -~ 加 LoopBack0 
LoopBack0 “~、 192.168.0.1/24 
192.168.1.1/24 、N GE1/0/0 






202.1.1.10/24 we 
Internet 候 总 部 子 网 、 
Tunnel0/0/0 6 192.108.0.0/24 本 


192.168.2.1/24 “一 
Spoke 2 有 


多 
192.168.2.0/24 
图 7-28 ”DSVPN over IPSec 配置 示例 的 拓扑 结构 


本 示例 的 DSVPN over IPSec 其 实 与 第 6 章 介 绍 的 GRE over IPSec 非常 类 似 ， 因 为 
DSVPN 构建 的 也 是 GRE 隧道 ， 而 且 都 是 要 先 对 进行 发 的 数据 进行 GRE 封装 ， 然 后 再 
进行 IPSec 封装 ， 对 所 传输 的 整个 GRE 报 文 提供 加 密 保 护 ， 同 时 提供 身份 认证 、 数 据 完 
整 性 检查 、 抗 重 放 保护 ， 到 了 对 端 之 后 先进 行 IPSec 解 封装 ， 再 进行 GRE 解 封 装 。 而 且 
与 GRE over IPSec 一 样 ,DSVPN over IPSec 中 IPSec 安全 策略 要 采用 安全 框架 方式 配置 ， 
并 最 终 在 mGRE Tunnel 接口 上 应 用 。 

根据 以 上 分 析 可 以 得 出 本 示例 的 基本 配置 思路 如 下 : 

(1) 配置 各 设备 上 的 各 接口 (包括 Tunnel 接口 ) 的 IP 地址。 

(2) 配置 各 设备 闻 的 公 网 路 由 。 此 处 采用 OSPF 路 由 协议 来 配置 。 

(3) 采用 OSPF 路 由 协议 通告 包括 本 地 mGRE Tunnel 接口 和 本 地 子 网 在 内 的 网 段 ， 
但 路 由 进程 不 要 与 公 网 一 样 。 










GE1/0/0 
202.1.3.10/24 
Tunnel0/0/0 
172.16.1.3/24 
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(4) 配置 各 设备 上 的 IKE 安全 提议 ， 各 设备 上 的 配置 要 保持 一 致 。 
(5$) 配置 各 设备 上 的 IKE 对 等 体 ， 引 入 前 面 配 置 的 IKE 对 等 体 ， 并 配置 相同 的 共享 


(6) 配置 各 设备 的 了 PSec 安全 提议 ， 各 设备 上 的 配置 保持 一 致 。 

《7) 配置 各 设备 上 的 IPSec 安全 框架 ，3 引 入 前 面 配置 的 IPSec 安全 提议 和 IKE 对 等 体 。 

(8) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 ， 并 在 各 设备 上 的 mGRE Tunnel 
接口 应 用 前 面 配 置 的 IPSec 安全 框 染 。 

2.， 具体 配置 步骤 

因为 本 示例 中 各 设备 接口 的 卫 地 址 及 基本 拓扑 结构 与 7.4.1 节 介 绍 的 配置 示例 完全 
一 样 , 故 本 示例 中 的 第 (1)、(2) 项 配置 任务 的 具体 配置 与 7.4.1 节 示 例 的 配置 完全 一 样 ， 
参见 即 可 。 下 面 仅 介绍 后 面 各 项 配置 任务 的 具体 配置 方法 。 

(3) 配置 子 网 OSPF 路 由 ， 同 时 包括 各 设备 上 上 所 连接 的 内 部 子 网 和 mGRE Tunnel 接 
口 所 在 子 网 的 路 由 。 但 所 用 的 OSPF 路 由 进程 不 能 与 公 网 OSPF 路 由 进程 一 样 。 

# Hub 上 的 配置 ， 此 处 假设 不 通过 Hub 上 的 子 网 路 由 。 

[Hub| ospf 1 router-id 172.16.1.1 

[Hub-ospf-1] area 0.0.0.0 

[Hub-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Hub-ospf-1-area-0.0.0.0] quit 

[Hub-ospf-1] quit 

# Spokel 上 的 配置 。 

[Spokel| ospf 1 router-id 172.16.1.2 

[Spokel-ospf-1] area 0.0.0.0 

[Spokel1-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Spokel-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255 

[Spokel-ospf-1-area-0.0.0.0] quit 

[Spokel-ospf-1] quit 

# 配置 Spoke2。 

[Spoke2] ospf 1 router-id 172.16.1.3 

[Spoke2-ospf-1] area 0.0.0.0 

[Spoke2-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255 

[Spoke2-ospf-1-area-0.0.0.0] quit 

[Spoke2-ospf-1| quit 

(4) 配置 各 设备 上 的 IKE 安全 提议 。 

在 Hub 和 两 Spoke 上 配置 进行 IKE 协商 时 需要 的 IKE 安全 提议 ， 根 据 需 要 选择 配 
置 各 项 IKE 安全 提议 参数 ， 甚 至 不 创建 IKE 安全 提议 ， 各 项 参数 均 直 接 采 用 缺 省 的 IKE 
安全 提议 的 缺 省 配置 。 各 端的 IKE 安全 提议 参数 配置 必须 一 致 。 

假设 此 处 在 IKE 安全 提议 中 选择 配置 的 认证 算法 和 IKEv2 伪 随机 数 产 生 函 数 的 算法 
均 为 AES-XCBC-128, 使 用 AES-XCBC-MAC-96 认证 算法 ,IKE 协议 第 一 阶段 进行 密 钥 
协商 时 采用 1536 位 的 DH5 组 ， 其 他 参数 采用 缺 省 配置 《如 采用 预 共享 密 钥 认证 方法 、 
AES-256 加 密 算 法 、IKEv2 协商 使 用 的 完整 性 算法 为 HMAC-SHA2-256 )。 

# Hub 上 的 配置 。 


[Hub] ike proposal 1 #-- 创 建 序号 为 1 的 IKE 安全 提议 
[Hub-ike-proposal-1] dh groups #--- 指 定 IKE 第 一 阶段 密 钥 协商 使 用 DH5 组 
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[Hub-ike-proposal-1] authentication-algorithm aes-xcbe-mac-96 #--- 配 置 认证 算法 为 AES-XCBC-128 
[Hub-ike-proposal-1] prf aes-xcbe-128 # -- 指 定 IKEv2 协商 伪 随 机 数 产 生 函 数 的 算法 为 AES-XCBC-128 
[Hub-ike-proposal-1] quit 

# Spokel 上 的 配置 。 

[Spokel |] ike proposal 1 

[Spokel-ike-proposal-1|] dh group5 

[Spokel-ike-proposal-1| authentication-algorithm aes-xcbc-mac-96 

_ [Spokel-ike-proposal-1] prf aes-xcbc-128 

[Spokel-ike-proposal-1|] quit 

# Spoke2 上 的 配置 。 

[Spoke2|] ike proposal | 

[Spoke2-ike-proposal-l] dh groups 

[Spoke2-ike-proposal-1] authentication-algorithm aes-xcbc-mac-96 

[Spoke2-ike-proposal-1] prf aes-xcbc-128 

[Spoke2-ike-proposal-1] quit 

(5) 配置 各 设备 上 的 IKE 对 等 体 。 

在 Hub 和 两 Spoke 上 配置 进行 IKE 协商 时 需要 的 IKE 对 等 体 . 引 用 前 面 配置 的 IKE 
安全 提议 ， 并 配置 预 共享 密 钥 (各 设备 上 的 配置 必须 一 致 ， 此 处 假设 为 Huawei@1234)， 
可 选 配置 DPD (Dead Peer Detection， 死 亡 对 等 体检 测 ) 检测 模 式 和 检测 周期 ， 以 提高 
网 络 连 接 的 可 徘 性 。 

# Hub 上 的 配置 。 

[Hub| ike peer hub 

[Hub-ike-peer-hub] ike-proposal ] #--- 引 用 在 Hub 配置 的 IKE 安全 提议 

[Hub-ike-peer-hub] pre-shared-key cipher Huawei@1234 ”#--- 配 置 预 共享 密 钥 为 Huawei@1234 

[Hub-ike-peer-hub] dpd type periodic #--- 配 置 DPD 为 周期 性 检测 模式 

[Hub-ike-peer-hub] dpd idle-time 40”#--- 配 置 DPD 检测 周期 为 40 秘 

[Hub-ike-peer-hub| quit 

# Spokel 上 的 配置 。 

[Spokel] ike peer spokel 

~ [Spokel1-ike-peer-spoke1] ike-proposal 1 
[Spokel-ike-peer-spoke1] pre-shared-key cipher Huawei@1234 

[Spokel-ike-peer-spoke1] dpd type periodic ， 

[Spokel-ike-peer-spokel1| dpd idle-time 40 

[Spokel-ike-peer-spoke1] quit 

# Spoke2 上 的 配置 。 

[Spoke2| ike peer spoke2 

[Spoke2-ike-peer-spoke2] ike-proposal 1 

[Spoke2-ike-peer-spoke2] pre-shared-key cipher Huawei@1234 

[Spoke2-ike-peer-spoke2] dpd type periodic 

[Spoke2-ike-peer-spoke2] dpd idle-time 40 

[Spoke2-ike-peer-spoke2] quit 


(6) 在 各 设备 上 创建 IPSec 安全 提议 。 

在 Hub 和 Spoke 上 配置 安全 提议 ， 根 据 需要 选择 配置 IPSec 安全 提议 的 各 项 参数 ， 
其 至 可 以 只 创建 IPSec 安全 提议 ， 不 配置 其 中 的 参数 ， 直 接 采 用 缺 省 配置 。 各 设备 上 的 
IPSec 安全 提议 参数 配置 必须 一 致 。 

此 处 假设 所 选 的 安全 协议 是 同时 有 AH 和 ESP，AH、ESP 认证 算法 为 SHA2-256、 
ESP 加 密 算 法 为 AES-192。 

# Hub 上 的 配置 。 
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[Hub| ipsec proposal prol 

[Hub-ipsec-proposal-prol] transform ah-esp #-- 同 时 采用 AH 和 ESP 两 种 安全 协议 
[Hub-ipsec-proposal-pro1] ah authentication-algorithm sha2-256 #--- 配 置 AH 认证 算法 为 SHA2-256 
[Hub-ipsec-proposal-pro1] esp authentication-algorithm sha2-256 #--- 配 置 ESP 认证 算法 为 SHA2-256 
[Hub-ipsec-proposal-pro1] esp encryption-algorithm aes-192 #--- 配 置 ESP 加 密 法 为 AES-192 
[Hub-ipsec-proposal-prol| quit 


# Spokel 上 的 配置 。 


[Spoke!1 | ipsec proposal prol 

[Spokel-ipsec-proposal-prol | transform ah-esp 
[Spokel-ipsec-proposal-prol | ah authentication-algorithm sha2-256 
[Spokel-ipsec-proposal-prol | esp authentication-algorithm sha2-256 
[Spokel-ipsec-proposal-prol| esp encryption-algorithm aes-192 
[Spokel-ipsec-proposal-prol | quit 


# ”Spoke2 上 的 配置 。 


[Spoke2| ipsec proposal prol 

[Spoke2-1ipsec-proposal-pro] | transform ah-esp 
[Spoke2-ipsec-proposal-prol| ah authentication-algorithm sha2-2S6 
[Spoke2-ipsec-proposal-prol | esp authentication-algorithm sha2-256 
[Spoke2-ipsec-proposal-prol| esp encryption-algorithm aes-192 
[Spoke2-ipsec-proposal-prol| quit 


(7) 配置 各 设备 上 的 安全 框架 。 

在 Hub 和 两 Spoke 上 配置 安全 框架 , 引用 前 面 各 处 配置 的 IPSec 安全 提议 和 IKE 对 
等 体 。 

# Hub 上 的 配置 。 


[Hub] ipsec profile profilel 
[Hub-ipsec-profile-profile1] ike-peer hub 
[Hub-ipsec-profile-profilel| proposal prol 
[Hub-ipsec-profile-profilel | quit 


# Spokel 上 的 配置 。 


[Spoke! | ipsec profile profilel 
[Spokel-ipsec-profile-profilel | ike-peer spoke! 
[Spokel-ipsec-profile-profilel | proposal prol 
[Spokel-ipsec-profile-profilel | quit 


# Spoke2 上 的 配置 。 


[Spoke2| ipsec profile profilel 
[Spoke2-ipsec-profile-profilel | ike-peer spoke2 
[Spoke2-ipsec-profile-profilel] proposal prol 
[Spoke2-ipsec-profile-profilel| quit 


(8) 配置 各 设备 上 的 mGRE Tunnel 接口 和 NHRP 协议 。 

本 示例 采用 非 shortcut 场景 ,要 在 Hub 和 各 Spoke 的 mGRE Tunnel 接口 上 配置 OSPF 
网 络 类 型 为 broadcast， 以 实现 分 支 间 路 由 相互 学 习 。 在 Hub 的 mGRE Tunnel 接口 上 配 
置 DR 优先 级 最 高 ,担当 DR 角色 ,接受 来 自分 支 的 动态 NHRP 注册 ;在 Spokel 和 Spoke2 
上 分 别 配置 Hub 的 静态 NHRP peer 表 项 。 最 后 在 Hub 和 各 Spoke 的 mGRE Tunnel 接口 
上 应 用 安全 框架 。 

# Hub 上 的 配置 。 


[Hub] interface tunnel 0/0/0 

[Hub-Tunnel0/0/0] tannel-protocol gre p2mp 
[Hub-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Hub-Tunnel0/0/0| nhrp entry multicast dynamic 
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[Hub-Tunnel0/0/0] ospf network-type broadcast 
[Hub-Tunnel0/0/0] ospf dr-priority 100 
[Hub-Tunnel0/0/0] ipsec profile profilel 
[Hub-Tunnel0/0/0] quit 


# Spokel 上 的 配置 。 


[Spokel| interface tunnel 0/0/0 

[Spokel-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spokel-Tunnel0/0/0| source gigabitethernet 1/0/0 
[Spokel-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spokel-Tunnel0/0/0| ospf network-type broadcast 
[Spokel-Tunnel0/0/0| ospf dr-priority 0 

[Spoke1-Tunnel0/0/0] ipsec profile profilel 
[Spokel-Tunnel0/0/0] quit 


# Spoke2 上 的 配置 。 


[Spoke2| interface tunnel 0/0/0 

[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp 
[Spoke2-Tunnel0/0/0] source gigabitethernet 1/0/0 
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 202.1.1.10 register 
[Spoke2-Tunnel0/0/0] ospf network-type broadcast 
[Spoke2-Tunnel0/0/0| ospf dr-priority 0 

[Spoke2-Tunnel0/0/0] ipsec profile profilel 
[Spoke2-Tunnel0/0/0] quit 


3. 实验 结果 验证 

完成 以 上 配置 后 ， 最 后 进行 一 系列 的 实验 结果 验证 。 

(1) 检查 IPSec 配置 结果 。 

分 别 在 Hub 和 各 Spoke 上 执行 display ipsec profile 命令 ， 查 看 所 配置 的 IPSec 安全 
框架 配置 信息 (包括 安全 框架 中 引入 的 IPSec 安全 提议 参数 和 IKE 对 等 体 参 数 配 置 ), 验 
证 配置 是 否 正 确 。 以 下 是 在 Hub 上 执行 该 命令 的 输出 。 

[Hub] display ipsec profile 


IPSec profile : profilel 
Using interface: Tunnel0/0/0 





IPSec Profile Name :profilel 

Peer Name :hub 

PFS Group :0 (0:Disable 1:Groupl 2:Group2 5:Group5$ 14:Group14) 
SecondsFlag :0 (0:Global 1:Local) 

SA Life Time Seconds :3600 

KilobytesFlag :0 (0:Global 1:Local) 

SA Life Kilobytes :1843200 

Anti-replay window size :32 

Qos pre-classify :0 (0:Disable 1:Enable) 


Number of IPSec Proposals :1 
IPSec Proposals Name :prol 


(2) 检查 各 设备 上 的 NHRP peer 表 项 信息 。 

# 在 Hub 上 执行 display nhrp peer all 命令 ,发现 两 Spoke 已 成 功 注册 了 NHRP peer 
表 项 ， 因 为 在 前 面 两 Spoke 上 Hub 静态 NHRP peer 表 项 时 选择 了 resiter 选项 ， 向 Hub 
发 起 了 NHRP 动态 注册 请 求 。 


[Hub] display nhrp peer al 


Ce ee ee ee ee erotic eo pe ee pepe ee 
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Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.161.2 22 202.1.2.10 172.16.1.2 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:02:59 


Expire time : 01:57:01 
Protocol-addr Mask NBMA-addr NextHop-addr ”Type Flag 
172.16.13 32 202.1.3.10 17210613 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:52 
Expire time : 0159:15 


Number of nhrp peers: 2 
# 在 Spokel 上 执行 display nhrp peer all 命令 , 发 现 仅 有 本 地 配置 的 Hub 毅 态 NHRP 


peer 表 项 ， 没 有 对 端 分 支 的 动态 NHRP peer 表 项 ， 原 因 也 是 因为 目前 还 没有 流量 来 触发 
Spoke 发 起 NHRP 解析 请 求 。 


[Spokelj display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 


172.10.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel Interface: Tunnel0/0/0 
Created time : 04-51:11 
Expire time : -- 


Number of nhrp peers: 1 


[Spoke2] display nhrp peer all 
Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.1 32 202.1.1.10 I172.161.! static hub 


Tunnel interface: Tunnel0/0/0 
Created time : 04:51:23 
Expire time : -- 


Number of nhrp peers: 1 

(3) 检查 各 设备 上 的 IPSec SA 信息 。 

# 在 Hub 上 执行 display ipsec sa 操作 , 结果 如 下 , 发 现 已 通过 IKE 动态 协商 生成 了 
IPSec 的 相关 参数 ， 如 出 、 入 方向 AH 和 ESP SA 的 SPI， 远 端 卫 地 址 ， 及 AH、ESP 的 
认证 算法 和 加 密 算 法 ( 仅 ESP SA 中 有 )。 


[Hub] display ipsec sa 


Interface: Tunnel0/0/0 
Path MTU: 1500 
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CCC 


IPSec profile name: "profilel”" 

Mode : PROF-Template 
Connection ID :4 
Encapsulation mode: Tunnel 


Tunnel local : 202 1.1.10 
Tunnel remote :202.1.3.10 
Flow source ; 202.1 1 10/255 7255 259 .255 47/0 


Flow destination :202.1.3.10/255.255.255.255 47/0 
Qos pre-classify : Disable 


[Outbound ESP SAs] 
SPI: 2719506836 (0xa2186194) 
Proposal: ESP-ENCRYPT-AES-192 SHA2-512-256 
SA remaining key duration (bytes/sec): 1887428316/2924 
Max sent sequence-number: 87 
UDP encapsulation used for NAT traversal: N 


[Outbound AH SAs] 
SPI: 3188118142 (0xbe06d27e) 
Proposal: SHA2-512-256 
SA remaining key duration (bytes/sec): 1887436800/2924 
Max sent sequence-number: 87 
UDP encapsulation used for NAT traversal: N 


[Inbound AH SAs] 
SPI: 4023741109 (0xefd56ab5) 
Proposal: SHA2-512-256 
SA remaining key duration (bytes/sec): 1887436800/2924 
Max received sequence-number: 80 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPHI 2725542237 (0xa274795d) 
Proposal: ESP-ENCRYPT-AES-192 SHA2-512-256 
SA remaining key duration (bytes/sec): 1887429296/2924 
Max received sequence-number: 80 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -- 一 一 -一 


IPSec profile name: "profile1” 


Mode : PROF-Template 
Connection ID :2 
Encapsulation mode: Tunnel 
Tunnel local : 202.11.10 
Tunnel remote ;202.12,19 
Flow source “202.1 1.10/255 255.255.255 47/0 


Flow destination :202.1.2.10/255.255.255.255 47/0 
Qos pre-classify : Disable 
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[Outbound ESP SASs| 
SPI: 2140030022 (Ox7f8e4446) 
Proposal: ESP-ENCRYPT-AES-192 SHA2-512-256 
SA remaining key duration (bytes/sec): 1887426608/2791 
Max sent Sequence-number: 104 
UDP encapsulation used for NAT traversal: N 


[Outbound AH SASs] 
SPI: 833505824 (0x31ae4a20) 
Proposal: SHA2-512-256 
SA remaining key duration (bytes/sec): 1887436800/2791 
Max sent sequence-number: 104 
UDP encapsulation used for NAT traversal: N 


[Inbound AH SAs] 
SPI: 3662509166 (Oxda4d746e) 
Proposal: SHA2-512-256 
SA remaining key duration (bytes/sec): 1887436800/2791 
Max received sequence-number: 93 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 


[Inbound ESP SAs] 
SPI: 2485560141 (Ox9426a34d) 
Proposal: ESP-ENCRYPT-AES- 192 SHA2-51 2-250 
SA remaining key duration (bytes/sec): 1887428088/2791 
Max received sequence-number: 93 
Anti-replay window size: 32 
UDP encapsulation used for NAT traversal: N 
# 分 别 在 两 Spokel 上 执行 display ipsec sa 命令 ， 同 样 可 见 
成 的 各 项 参数 ， 输 出 略 。 
(4) 检查 各 设备 的 子 网 OSPF 路 由 。 


到 通过 IKE 动态 协商 生 


# 在 Hub 上 执行 display ospf 1 routing 命令 ,检查 Hub 上 的 子 网 OSPF 路 由 信息 结 


果 发 现 已 有 到 达 两 Spoke 子 网 的 OSPF 路 由 了 ( 参 


[Hub| display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.1 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.0/24 1562 Transit 172.16.1.! 172.16.1.1 0.0.0.0 
192.168.1.1/32 1562 Stub 172.16.1.2 172.16.1.2 0.0.0.0 
192.168.2.1/32 1562 Stub 172.16.1.3 172.16.13 0.0.0.0 


Total Nets: 3 
Intra Area: 3 Inter Area:0 ASE:0 NSSA:0 


见 输出 信息 中 的 粗 体 字 部 分 )。 


# 分 别 在 Spokel1、Spoke2 上 执行 display ospf 1 routing 命令 , 检查 两 Spoke 上 的 OSPF 
路 由 信息 , 结果 发 现 也 有 到 达 另 一 Spoke 子 网 的 OSPF 路 由 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel | display ospf 1 routing 
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OSPF Process 1 with Router ID 172.16.1.2 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.0/24 1562 Transit 172.16.12 172.16.1.2 0.0.0.0 
192.168.1.1/32 0 Stub 192.168.1.1 172.16.1.2 0.0.0.0 
192.168.2.1/32 1562 Stub 172.16.1.3 172.16.1.3 0.0.0.0 
Total Nets: 3 


Intra Area: 3 Inter Area:0 ASE:0 NSSA:0 


[Spoke2] display ospf 1 routing 


OSPF Process 1 with Router ID 172.16.1.3 


Routing Tables 
Routing for Network 
Destination Cost Type NextHop AdvRouter Area 
172.16.1.0/24 1562 Transit 172.16.13 172.161.3 0.0.0.0 
192.168.2.1/32 0 Stub 192.108.2.1 172.16.1.3 0.0.0.0 
192.168.1.1/32 1562 Stub 172.10.1.2 172.16.1.2 0.0.0.0 


Total Nets: 3 
Intra Area: 3 Inter Area:0 ASE:0 NSSA:0 


(5) 执行 从 一 个 Spoke ping 男 一 个 Spoke 子 网 (IP 地 址 为 Loopback 接口 IP 地 址 ) 
操作 ,以 流量 来 触发 Spoke 间 相 互 学 习 对 端的 公 网 IP 地 址 ， 以 动态 生成 对 闯 的 NHRP peer 
表 项 。 

然后 再 在 Spokel 和 Spoke2 上 分 别 display nhrp peer all 命令 , 便 可 发 现 相 比 前 面 多 
了 两 条 NHRP peer 表 项 ， 其 中 一 条 是 动态 学 习 到 的 对 端 Spoke 的 ， 男 一 条 是 目 己 通过 
NHRP 协议 动态 学 习 到 的 本 地 NHRP peer 表 项 (参见 输出 信息 中 的 粗 体 字 部 分 )。 


[Spokel| display nhrp peer all 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.! 32 202.1.1.10 ] /2.10.1.1 Static hub 


Tunnel interface: Tunnel0/0/0 
Created time :05:13:06 
Expire time : -- 


Protocol-addr “Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic route tunnel 


Tunnel interface: Tunnel0/0/0 


Created time : 00:00:31 
Expire time ` 01:59:29 
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic local 
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Tunnel interface: Tunnel0/0/0 
Created time : 00:00:31 
Expire tme : 01:59:29 


Number of nhrp peers: 3 


[Spoke2] display nhrp peer all 


Protocol-addr Mask NBMA-addr NextHop-addr Type Flag 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


172.16.1.1 32 202.1.1.10 172.16.1.1 static hub 


Tunnel interface: Tunnel0/0/0 
Created time 031323 


Expire time : —- 
Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.2 32 202.1.2.10 172.16.1.2 dynamic route tunnel 


一 一 -一 一 -一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:55 


Expire time : 01:59:05 
Protocol-addr ”Mask NBMA-addr NextHop-addr Type Flag 
172.16.1.3 32 202.1.3.10 172.16.1.3 dynamic local 


Tunnel interface: Tunnel0/0/0 
Created time : 00:00:55 
Expire time : .01:59:05 


Number of nhrp peers: 3 


7.5 ”典型 故障 排除 


最 后 介绍 一 些 在 DSVPN 过 程 中 可 能 出 现 的 一 些 典型 故障 排除 方法 。 
7.5.1 _ Spoke NHRP 注册 失败 的 故障 排除 


如 果 在 Hub 上 使 用 display nhrp peer 命令 查看 NHRP peer 表 项 时 ， 发 现 没 有 Spoke 
的 mGRE Tunnel 接口 IP 地 址 与 公 网 IP 地 址 对 应 的 peer 表 项 ， 则 表明 Spoke 的 NHRP 
动态 注册 没 成 功 。 此 时 一 般 是 有 三 种 可 能 : 一 是 Spoke、Hub 间 没 有 可 达 的 公 网 路 由 ， 
二 是 在 Spoke 上 没有 静态 配置 Hub 的 静态 NHRP peer 表 项 ， 三 是 Hub 和 Spoke 上 的 认 
证 配置 不 一 致 ， 或 者 Spoke 上 的 静态 Hub 的 静态 NHRP peer 表 项 配置 错误 。 可 按 以 下 步 
骤 来 进行 排查 : 

(1) 检查 Spoke-Hub 间 是 人 否 有 可 达 的 公 网 路 由 

在 Spoke 回 Hub 发 送 NHRP 注册 请 求 报 文 时 ， 经 过 GRE 重 封装 后 的 NHRP 注册 请 
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求 报 文 的 外 层 卫 报头 中 的 目的 IP 是 Hub 的 公 网 接口 IP 地 址 , 所 以 要 确保 Spoke 与 Hub 
间 的 公 网 路 由 申通 。 

在 Hub 上 执行 命令 display ip routing-table 命令 ， 查 看 是 否 含有 到 Spoke 的 公 网 路 
由 信息 。 如 果 没 有 ， 则 要 重新 在 各 设备 上 配置 ， 通 常 是 采用 OSPF 路 由 协议 配置 ， 当 然 
也 可 以 采用 其 他 路 由 协议 来 配置 。 如 果 Hub 设备 上 已 有 到 达 Spoke 的 公 网 路 由 ， 则 继续 
进行 下 一 步 排 簿 。 

(2) 检查 各 Spoke 上 是 否 配置 有 静态 的 Hub NHRP peer 表 项 

此 时 可 在 各 Spoke 上 执行 display nhrp peer 命令 ， 查 看 Spoke 上 有 无 静态 配置 的 
Hub NHRP peer 表 项 。 

Spoke 向 Hub 触发 NHRP 动态 注册 请 求 时 , 必须 在 Spoke 要 有 Hub 的 mGRE Tunnel 
接口 IP 地 址 和 其 对 应 的 公 网 IP 地 址 , 因为 这 些 在 对 NHRP 注册 请 求 报 文 原始 IP 报头 中 
的 “目的 耳 地 址 ”需要 填充 Hub 的 mGRE Tunnel 接口 IP 地 址 ， 而 在 GRE 封装 后 新 增 
IP 报头 的 “目的 全 地 址 ”中 需要 填充 Hub 的 公 网 IP 地 址 。 如 有 果 没 有 , 目 动 不能 对 NHRP 
报 文 进行 封装 ， 也 就 发 送 不 了 NHRP 动态 注册 请 求 报 文 了 。 在 这 里 要 检查 以 下 两 个 方面 

。 在 Spoke 上 所 配置 的 静态 NHRP peer 表 项 中 的 两 个 卫 地 址 确实 是 Hub 的 ， 且 顺 
序 没 有 写 错 〈 前 一 个 卫 地 址 是 Hub 的 mGRE Tunnel 接口 IP 地 址 ， 后 一 个 是 Hub 的 公 
网 卫 地 址 ); 

。 在 为 Hub 配置 静态 NHRP peer 表 项 的 nhrp entry 命令 中 指定 了 register 选项 , 用 
于 触发 Spoke 问 Hub 发 起 NHRP 动态 注册 。 

(3) 检查 Hub 和 Spoke 的 NHRP 认证 字 配 置 是 否 一 致 

如 果 以 上 配置 正确 , 则 进一步 查看 Hub 和 Spoke 的 NHRP 认证 字符 串 配置 是 否 一 致 。 
通常 情况 下 无 需 配 置 NHRP 认证 的 ， 如 果 确 实 配置 了 ， 则 在 Hub 和 Spoke 上 的 nhrp 
authentication 命令 中 的 认证 字符 串 是 否 配置 一 致 。 如 果 总 部 节点 上 配置 的 认证 字符 串 与 
注册 请 求 报 文中 的 认证 字符 串 不 一 致 ， 则 总 部 节点 不 会 处 理 该 分 文 的 注册 请 求 ， 如 果 分 
支 上 配置 了 认证 字符 串 但 是 总 部 节点 上 没有 配置 认证 字符 串 ， 则 不 会 进行 认证 字符 串 的 
认证 。 


7.5.2” 非 shortcut 场景 Spoke 间 子 网 无 法 进行 直接 通信 的 故障 排除 


如 果 在 配置 非 shortcut 场景 DSVPN 之 后 ， 发 现 Spoke 间 子 网 仍 无 法 进行 通信 ， 则 
主要 考虑 以 下 两 方面 原因 : 一 是 各 设备 间 的 子 网 路 由 不 通 ; 二 是 Spoke 则 没有 生成 对 病 
的 NHRP peer 表 项 。 可 按 以 下 步骤 进行 排 往 : 

(1) 检查 各 设备 上 是 否 正确 学 习 了 到 达 其 他 Spoke 的 子 网 路 由 。 

在 非 shortcut 场景 中 , 各 Spoke 是 可 以 通过 Hub 相互 学 习 到 达 对 端子 见 网 的 路 由 的 ， 
并 且 路 由 的 下 一 跳 是 否 为 对 端 Spoke 的 mGRE Tunnel 接口 的 卫 地 址 。 所 以 首先 要 确保 
在 Hub 上 有 到 达 各 Spoke 子 网 的 路 由 。 

。 在 Hub 上 执行 display ip routing-table 命令 ， 碍 看 是 否 含 有 到 Spoke 子 网 的 路 由 
信息 。 如 果 有 ， 再 在 本 端 Spoke 上 执行 display ip routing-table 命令 ,查看 是 否 含 有 到 对 
端 Spoke 的 子 网 路 由 信息 。 

e 如 果 在 Hub-Spoke， 或 Spoke-Spoke 则 没有 到 达 对 靖子 网 的 路 由 信息 ， 则 需要 重 
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新 配置 子 网 路 由 信息 。 通 常 是 采用 动态 路 由 协议 来 配置 ， 根 据 需要 选择 RIP、OSPF， 或 
BGP 路 巾 协议， 但 在 非 shortcut 场景 中 ， 所 通告 的 路 由 均 为 明细 路 由 。 

e。 如 条 Hub-Spoke、Spoke-Spoke 间 有 到 对 端子 网 的 路 由 信息 , 但 到 子 网 路 由 的 下 一 
跳 不 是 对 端的 mGRE Tunnel 接口 的 卫 地 址 ， 也 需要 重新 配置 子 网 路 由 信息 ， 将 到 子 网 
路 由 的 下 一 跳 配 置 为 对 端的 Tunnel 地 址 。 

当然 ， 这 种 情形 仅 在 采用 静态 路 由 配置 时 才 可 能 发 生 ， 因 为 采用 动态 路 由 协议 时 ， 
只 要 通告 了 对 应 子 网 ， 以 及 本 地 的 mGRE Tunnel 接口 所 在 子 网 (采用 BGP 协议 时 不 要 
包括 , 因为 此 时 mGRE Tunnel 接口 PP 地 址 是 作为 EBGP 对 等 体 人 P 地 址 的 ), 则 在 非 shortcut 
场景 中 ， 相 互 学 习 到 的 到 达 对 端子 网 的 路 由 下 一 跳 表 定 是 对 端的 mGRE Tunnel 接口 的 IP 
地 址 。 

如 和 Hub-Spoke、Spoke-Spoke 间 含 有 到 子 网 的 路 由 信息 ,并 且 子 网 路 由 的 下 一 跳 为 
对 病 的 Tunnel 地 址 ， 则 继续 执行 以 下 检查 步骤 。 

(2) 检查 Hub 和 Spoke 上 是 否 生成 了 对 端 Spoke 的 peer 表 项 。 

在 Hub 和 Spoke 上 分 别 执行 display nhrp peer 命令 , 查看 本 地 的 NHRP peer 表 信 
如 条 在 Hub 上 未 生成 Spoke 的 NHRP peer 表 项 , 则 参考 上 节 介 绍 的 Spoke 注册 失败 情形 
进行 故障 排查 。 如 果 在 Hub 上 未 生成 Spoke 的 NHRP peer 表 项 ， 而 且 各 Spoke 间 ee 
学 习 到 了 对 端子 网 的 路 由 信息 ， 则 Spoke 间 肯 定 可 以 直接 建立 VPN， 进 行 通信 了 。 


7.5.3 shortcut 场景 Spoke 间 子 网 无 法 进行 直接 通信 的 故障 排除 


如 果 在 配置 shortcut 场景 DSVPN 之 后 ，Spoke 间 子 网 仍 无 法 进行 通信 ， 则 需要 考虑 
以 下 两 方面 的 原因 : 一 是 各 设备 间 的 子 网 路 由 不 通 ; 二 是 Spoke 间 没 有 生成 对 端的 NHRP 
peer 表 项 。 可 按 以 下 步骤 进行 排查 : 

(1) 检 杏 各 设备 上 是 否 正 确 学 习 了 到 达 其 他 Spoke 的 子 网 路 由 。 

在 shortcut 场景 中 ， 各 Spoke 间 不 能 直接 相互 学 习 路 由 ， 而 都 是 通过 从 Hub 学 习 包 
含 各 子 网 的 汇聚 路 由 ， 以 及 NHRP 解析 过 程 最 终 实现 学 习 对 端子 网 路 由 的 目的 。 

首先 在 Hub 上 执行 display ip routing-table 命令 ， 查 看 是 否 含 有 到 i 子 网 的 汇 
聚 路 由 信息 。 如 采 有 ， 再 在 本 端 Spoke 上 执行 display ip routing-table 命令 ， 查 看 是 否 含 
有 到 对 端 Spoke 的 子 网 路 由 信息 。 

如 果 Hub-Spoke， 或 Spoke-Spoke 间 没 有 含有 到 达 某 端子 网 的 路 由 信息 ， 则 需要 重 
新 配置 到 达 茶 子 网 的 路 由 信息 。 当 然 ， 采 用 不 同 路 由 协议 的 具体 配置 方法 不 一 样 ， 这 方 
面 可 参见 7.4 市 介绍 的 对 应 配置 示例 。 特 别 要 注意 的 是 ，Hub 上 上 所 配置 的 子 网 汇聚 路 由 
要 正确 。 

当然 ，Spoke 可 以 学 习 到 对 端 Spoke 子 网 路 由 信息 ， 还 不 能 说 Spoke 则 可 以 正确 学 
习 对 闯 的 子 网 路 由 了 ， 还 要 检查 所 学 习 的 子 网 路 由 的 下 一 跳 是 否 为 总 部 的 mGRE Tunnel 
接口 IP 地 址 , 因为 在 shortcut 场景 中 , 各 Spoke 上 只 会 保存 一 条 指向 Hub 的 mGRE Tunnel 
接口 的 汇聚 路 由 ，Spoke 间 子 网 路 由 的 学 习 都 是 通过 Hub 回 它 们 发 布 的 子 网 汇聚 路 由 得 
到 的 。 

如 果 Spoke 己 正确 学 习 到 了 对 端子 网 的 路 由 信息 ， 且 路 由 的 下 一 跳 是 总 部 的 mGRE 
Tunnel 接口 IP 地 址 ， 则 继续 进行 下 不 的 检查 。 
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(2) 检查 Hub 和 Spoke 上 是 否 生 成 了 对 端 Spoke 的 NHRP peer 表 项 。 

在 Hub 和 Spoke 上 ， 执 行 display nhrp peer 命令 查看 NHRP peer 表 项 信息 ， 如 果 
Hub 上 未 生成 Spoke 的 NHRP peer 表 项 信息 ， 则 参考 在 7.5.1 节 介 绍 的 Spoke 注册 失败 
情形 进行 故障 排查 。 

如 果 Hub 上 已 生成 Spoke 的 NHRP peer 表 项 信息 , 则 通过 在 Spoke 上 执行 对 问 子 网 
的 Ping 操作 , 就 可 以 触发 Spoke 间 的 NHRP 解析 请 求 , 就 可 以 使 Spoke 间 正 确 学 习 对 端 
的 NHRP peer 表 项 。 
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第 9 章 将 要 介绍 的 SSL VPN (Secure Sockets Layer VPN， 安 全 套 接 字 层 VPN ) 是 一 
种 基于 数字 证 书 认证 的 VPN 技术， 在 SSL VPN 网 关上 必须 安装 自己 的 本 地 数字 证 书 ， 
以 供 远 程 用 户 对 其 合法 性 进行 认证 。 在 用 户 终端 上 也 可 选择 安装 数据 证 书 ， 利 用 证 书 中 
的 密 钥 进行 数据 加 密 、 数 字 签 名 和 数字 信封 应 用 ， 提 供 了 一 整套 安全 保障 系统 。 而 数字 
证 书 是 PKI (Public Key Infrastructure， 公 铀 基础 设施 ) 中 的 主体 ， 整 个 数字 证 书 的 注册 、 
安装 、 更 新 和 验证 都 是 基于 PKI 平台 下 进行 的 ， 所 以 本 章 先 来 具体 介绍 PKI 方面 的 技术 
原理 以 及 相关 功能 的 配置 方法 。 

PKI 的 核心 任务 就 是 从 负责 颁布 发 证 书 的 机 构 (CA ) 获得 用 户 终端 或 网 络 设备 申请 
的 本 地 证 书 ， 用 于 在 IPSecVPN、SSLVPN 等 方案 中 使 用 ; 另外 ,还 可 以 从 CA 获得 CA 
自己 的 证 书 ， 以 验证 CA 的 合法 性 ， 同 时 利用 CA 证 书 的 公 钥 给 本 地 证 书 申请 消息 进行 
加 密 。 

本 章 将 围绕 本 地 证 书 的 申请 (注册 )、 下 载 、 安 装 和 验证 等 流程 介绍 它们 的 具体 配 
置 方 法 ， 为 设备 或 终端 主机 获取 本 地 证 书 。 同时， 介绍 了 几 种 典型 场景 下 本 地 证 书 申 请 
( 建议 通过 SCEP 协议 申请 ， 步 骤 最 简单 ) 的 配置 示例 ， 并 在 最 后 介绍 一 些 在 本 地 证 书 申 
请 过 程 中 可 能 出 现 的 典型 故障 的 排除 方法 。 


8.1 PKI 基础 及 工作 原理 


PKI (Public Key Infrastructure， 公 钥 基 础 设施 ) 是 一 种 密 钥 管 理 平台 ， 它 利用 公 银 
技术 能 够 为 所 有 网 络 应 用 (特别 是 IPSec VPN 和 SSL VPN) 提供 统一 的 安全 服务 的 基础 
设施 ， 也 是 电子 商务 的 关键 和 基础 技术 。 


8.1.1 PKI 简介 


随 着 网 络 技 术 和 信息 技术 的 发 展 ， 电 子 商 务 已 逐步 被 人 们 所 接受 ， 并 不 断 饭 普及 。 
但 通过 网 络 进行 电子 商务 交易 时 ， 存 在 如 下 问题 : 

。 交易 双方 并 不 现场 交易 ， 无 法 确认 双方 的 合法 喘 份 ; 

。 通过 网 络 传 输 时 信息 易 被 鳃 取 和 算 改 ， 无 法 保证 信息 的 安全 性 ; 

。 交易 双方 发 生 纠纷 时 没有 和 凭证 可 依 ， 无 法 提供 仲裁 。 

为 了 解决 上 述 问 题 ，PKI 技术 应 运 而 生 ， 其 利用 公 钥 技术 保证 在 交易 过 程 中 能 够 实 
现 身 份 认证 、 数 据 保密 、 数 据 完整 性 和 不 可 否认 性 。 因 此 ， 在 网 络 通 信和 网 络 交 易 中 ， 
特别 是 电子 政务 和 电子 商务 业务 ，PKI 技术 得 到 了 广泛 的 应 用 。 

PKI 技术 既 可 使 用 户 受益 ， 也 可 使 企业 受益 。 在 用 户 受 益 方面 主要 体现 在 以 下 三 个 
方面 : 

。 通过 PKI 证 书 认证 技术 ,用 户 可 以 验证 接 入 设备 的 合法 性 ， 从 而 可 以 保证 用 户 接 
入 安全 、 合 法 的 网 络 中 ; 

。 通过 PKI 加 密 技术 ， 可 以 保证 网 络 中 传输 的 数据 的 安全 性 ， 数 据 不 会 被 算 改 和 呵 探 ， 

。 通过 PKI 签名 技术 ， 可 以 保证 数据 的 私密 性 ,未 授权 的 设备 和 用 户 无 法 查看 该 数据 。 

在 企业 受益 方面 主要 体现 在 以 下 两 个 方面 : 
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e 企业 可 以 防止 非法 用 户 接 入 企业 网 络 中 ; 
e 企业 分 支 之 间 可 以 建立 安全 通道 ， 保 证 企业 数据 的 安全 性 。 

8.1.2 ”PKI 体系 架构 


PKI 体系 架构 如 图 8-1 所 示 ， 包 括 终 端 实体 、 证 书 认证 机 构 、 证 书 注册 机 构 和 证 书 / 
CRL 存储 库 4 部 分 。 


证 书 下 载 









带 外 加 载 


(通过 Web、 磁 盘 、 
证 书 申请 电子 邮件 等 ) 
证 书 更 新 等 ”PKI 用 户 端 


PKI 管理 端 


证 书 /CRL 发 布 


通过 Web、 人 磁盘、 
电子 邮件 等 ) 


虚 箭头 线 表 示 有 RA 时 的 操作 
一 一 一 一 RA 是 CA 的 窗口 ， 可 以 不 独立 存在 
图 8-1 PKI 体系 架构 


(1) 终端 实体 (End Entity，EE) 

终 问 实体 也 称 为 PKI 实体 , 它 是 PKI 产品 或 服务 的 最 终 使 用 者 , 可 以 是 个 人 、 组 织 、 
设备 (如 路 由 器 、 防 火 墙 ) 或 计算 机 (用 户主 机 〉 中 运行 的 进程 。 

(2) 证 书 认证 机 构 (Certificate Authority，CA) 

CA 是 发 放 、 管 理 、 废 除数 字 证 书 的 机 构 ， 可 以 是 自己 构建 的 CA 服务 器 (如 使 用 
Windows 服务 器 系统 就 可 以 构建 )， 也 可 使 用 第 三 方 权威 的 认证 机 构 ， 当 然 这 种 是 需要 
付费 的 。CA 的 作用 是 检查 数字 证 书 申请 注册 或 持 有 者 身份 的 合法 性 ， 并 向 证 书 申 请 者 
签发 数字 证 书 (在 证 书 上 进行 数字 签名 )， 以 防止 证 书 被 伪造 或 算 改 , 同时 对 自己 所 颁布 
发 的 数字 证 书 进行 管理 。 

整个 CA 系统 可 以 是 单 级 结构 ， 即 整个 CA 系统 仅 一 个 CA 服务 器 ， 也 可 以 是 多 级 
结构 ， 即 整个 CA 系统 是 由 多 个 不 同 层次 的 CA 服务 器 构成 的 ， 就 像 各 级 人 民法 院 一 样 。 
如 果 是 多 级 结构 , 最 顶级 的 CA 称 之 为 根 CA (如 果 是 单 级 CA, 那 也 就 无 所 谓 根 CA 了 )。 
在 多 级 CA 系统 中 ， 根 CA 还 可 授权 其 他 CA 为 其 下 级 CA，CA 自己 的 身份 也 需要 有 一 
个 证 明 ， 以 便 证 书 申 请 者 可 以 识别 此 CA 的 合法 性 。 这 个 证 明 信 息 在 信任 证 书 机 构 文件 
中 描述 。 

如 图 8-2 是 一 个 多 级 CA 系统 ， 其 中 CA1 作为 最 上 级 CA 就 相当 于 最 高 人 民法 院 ) 
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也 叫 根 证 书 ， 签 发 下 一 级 CA2 证 书 ( 就 像 各 省 的 高 级 人 民法 院 )，CA2 又 可 以 给 它 的 下 
一 级 CA3〔 就 像 各 市 人 民法 院 ) 签发 证 书 ， 以 此 下 去 ， 最 终 由 CAn 签发 服务 器 的 证 书 。 


CA1 CA2 [六 …… CAn 服务 器 证 书 


图 8-2 ”证 书签 发 过 程 与 证 书 验 证 过 程 示意 图 


在 图 8-2 所 示 的 CA 系统 中 ， 如 果 某 服务 器 端的 证 书 是 由 CA3 签发 的 ， 则 在 客户 端 
验证 证 书 的 过 程 也 是 从 验证 该 服务 器 端的 证 书 有 效 性 开始 的 。 即 先 由 CA3 证 书 验 证 服务 
器 端 证 书 的 有 效 性 ， 如 果 通 过 则 再 由 CA2 证 书 验 证 CA3 证 书 的 有 效 性 ， 最 后 由 最 上 级 
CA1 证 书 验 证 CA2 证 书 的 有 效 性 。 只 有 通过 最 上 级 CA 证 书 即 根 证 书 的 验证 , 服务 器 证 
书 才 会 验证 成 功 。 

CA 的 核心 功能 就 是 发 放 和 管理 证 书 ， 包 括 证 书 的 颁发 、 证 书 的 更 新 、 证 书 的 撤销 、 
证 书 的 查询 、 证 书 的 归档 、 证 书 废除 列表 CRL (Certificate Revocation List， 证 书 撤销 列 
表 ) 的 发 布 等 。 

(3) 证 书 注册 机 构 (Registration Authority，RA) 

RA 是 数字 证 书 注册 审批 机 构 ，RA 是 CA 面 对 用 户 的 窗口 (就 像 各 级 人 民法 院 接待 
市 民 起 诉 、 申 诉 等 业务 的 前 台 窗 口 )， 是 CA 的 证 书 发 放 、 管 理 功能 的 延伸 ， 负 责 接受 用 
户 的 证 书 注册 和 撤销 申请 ， 对 用 户 的 身份 信息 进行 审查 ， 并 决定 是 否 向 CA 提交 签发 或 
撤销 数字 证 书 的 申请 。 

RA 作为 CA 功能 的 一 部 分 ， 实际 应 用 中 通常 RA 并 不 一 定 独 立 存 在 ， 而 是 和 CA 合 
并 在 一 起 ， 即 通常 情况 下 RA 的 功能 也 是 由 CA 目 己 来 完成 的 。 当 然 ，RA 也 可 以 独立 出 
来 ， 分 担 CA 的 一 部 分 功能 ， 减 轻 CA 的 压力 ， 增 强 CA 系统 的 安全 性 。 

(4) 证 书 /CRL 存储 库 

由 于 用 户 名 称 的 改变 、 私 钥 泄 漏 或 业务 中 止 等 原因 ， 需 要 存在 一 种 方法 将 原来 已 颁 
发 的 数字 证 书 吊 销 ， 即 撤销 某 公 钥 与 相关 的 PKI 实体 身份 信息 的 绑 定 关系 。 在 PKI 中 ， 
所 使 用 的 这 种 方法 为 CRL。 

CRL 由 CA 发 布 ， 它 指定 了 一 套 证 书 发 布 者 认为 无 效 的 证 书 。 证 书 一 旦 申请 成 功 ， 
便 会 有 一 定 有 效 期 ， 就 像 我 们 获取 的 各 种 资格 认证 证 书 一 样 ， 但 在 证 书 还 在 有 效 期 内 ， 
CA 也 可 通过 证 书 撤销 过 程 强制 撤销 原来 由 它 颁 发 的 的 证 书 ， 就 像 由 于 某 种 违规 ， 证 书 
颁发 机 构 可 以 注销 已 颁发 的 资格 证 书 一 样 。 

CRL 相当 于 一 个 证 书 撤销 公示 ， 其 中 列 出 的 被 撤销 证 书 在 CRL 中 显示 也 是 有 期 限 
的 《与 现实 生活 原 各 种 公示 一 样 )， 在 某 证 书 的 撤销 公示 到 期 后 ， 会 在 CRL 中 删除 该 证 
书 的 表 项 ， 以 缩短 CRL 列表 的 大 小 。 所 以 ， 不 在 CRL 中 的 数字 证 书 并 不 一 定 就 是 一 个 
有 效 证 书 ， 过 了 CRL 公示 期 后 ， 被 撤销 的 证 书 就 会 彻底 被 删除 ， 相 当 于 不 存在 ， 彻 确 无 
效 了 。 任 何 一 个 数字 证 书 被 撤销 后 ，CA 就 要 发 布 CRL 来 声明 该 证 书 是 无 效 的 ， 并 列 出 
所 有 被 撤销 证 书 的 签发 者 和 序列 号 、CRL 的 签发 日 期 、 证 书 被 撤销 的 日 期 、CRL 下 次 发 
布 时 间 等 信息 。 这 样 ， 下 次 当 用 户 来 验证 某 证 书 的 有 效 性 时 ， 就 可 以 及 时 获知 某 证 书 是 
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否 在 当前 有 效 。 

证 书 /CRL 存储 库 用 于 对 证 书 和 CRL 等 信息 进行 存储 和 管理 ， 并 提供 查询 功能 。 证 
书 /CRL 存储 库 的 构建 可 以 采用 LDAP (Lightweight Directory Access Protocol， 轻 量 级 目 
录 访 问 协议 ) 服务 器 、FTP 服务 器 、HTTP 服务 器 或 者 数据 库 等 。 其 中 ，LDAP 规范 简 
化 了 笨重 的 X.500 目录 访问 协议 ,支持 TCP/IP, 已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 
县 上 发布、CRL 信息 发 布 、CA 政策 以 及 与 信息 发 布 相关 的 各 个 方面 。 当 然 ， 如 果 证 书 
规模 不 是 太 大 ， 也 可 以 选择 架设 HTTP、FTP 等 服务 器 来 储存 证 书 ， 并 为 用 户 提供 下 载 
服务 。 


8.1.3 ”数字 证 书 结 构 及 分 类 


数字 证 书 是 一 个 经 证 书 授 权 中 心 数字 签名 〈 即 由 CA 证 书 公 和 钥 进 行 数 字 签 名 〉 的 文 
件 ， 包 含 拥有 者 的 公 钥 及 相关 身份 信息 。 数 字 证 书 可 以 说 是 Internet 上 的 安全 护照 或 身 
份 证。 就 像 我 们 到 其 他 国家 旅行 时 ， 需 要 用 护照 证 实 其 身份 一 样 ， 数 字 证 书 提供 的 是 网 
络 上 的 身份 证 明 。 

数字 证 书 技术 解决 了 数字 签名 技术 中 无 法 确定 公 钥 是 指定 拥有 者 的 问题 。 

1. 证 书 结构 

最 简单 的 证 书包 含 公 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 证 书 中 还 
包括 密 钥 的 有 效 期 、 颁 发 者 (CA) 的 名 称 、 该 证 书 的 序列 号 等 信息 。 证 书 的 结构 遵循 
X.509 v3 版 本 的 规范 ， 如 图 8-3 所 示 ， 下 面 对 各 部 分 进行 具体 说 明 。 


图 8-3 ”常见 数字 证 书 基本 结构 
。 版 本 : 使 用 X.509 协议 版 本 ， 目 前 普遍 使 用 的 是 v3 版 本 (0x2)。 
。 序列 与 : 证 书 颁 发 者 分 配给 证 书 的 一 个 正 整数 ， 同 一 证 书 颁发 者 颁发 的 证 书 序列 
号 各 不 相同 ， 可 用 与 颁发 者 名 称 一 起 作为 证 书 唯 一 标识 。 














使 用 CA 的 私 
钥 进 行 加 密 
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。 签名 算法 : 证 书 颁 发 者 颁发 证 书 使 用 的 数字 签名 算法 ， 如 MD5 或 SHA 等 。 

e 颁发 者 : 颁发 该 证 书 的 设备 名 称 ， 必须 与 颁发 者 证 书 中 的 主体 名 一 致 。 通常 为 CA 
服务 右 的 名 称 。 

。 有 效 期 : 包含 证 书 有 效 的 起 、 止 日 期 ， 不 在 有 效 期 范围 的 证 书 为 无 效 证 书 。 

。 主体 名 : 证 书 拥有 者 〈 即 PKI 实体 ) 的 名 称 ， 如 果 主 体 名 与 颁发 者 相同 ， 则 说 明 
该 证 书 是 一 个 目 签 名 证 书 。 

。 公 钥 信息 : PKI 实体 可 以 对 外 公开 的 公 钥 以 及 公 钥 算法 信息 。 

® 扩展 信息 : 通常 包含 了 证 书 的 用 法 、CRL 的 发 布地 址 等 可 选 字段 。 

。 签名 : 证 书 颁发 者 用 上 自己 的 私 钥 对 所 颁发 证 书信 息 的 签名 。 

2. 证 书 分 类 

目前 常见 的 数学 证 书 有 如 表 8-1 所 示 的 4 种 类 型 。 

表 8-1 证 书 类 型 
a ET 


















目 签名 证 书 也 是 根 证 书 , 是 自己 颁发 给 自己 | 申请 者 无 法 向 CA 申请 本 地 证 书 时 ， 可 以 通 
的 证 书 ， 即 证 书 中 的 颁发 者 和 主体 名 相同 “| 过 设备 生成 自 签 名 证 书 , 可 以 实现 简单 证 书 
【经 验 提示 】 不 管 CA 系统 有 多 少 层级 ， | 颁发 功能 

总 会 有 一 个 顶级 的 CA， 此 CA 的 证 书 就 |【 说 明 】AR 系列 路 由 器 虽然 可 以 生成 自 签名 
只 能 是 自己 给 自己 颁发 的 ,， 只 能 采用 自 签 | 证 书 , 但 不 支持 对 其 生成 的 自 签名 证 书 进行 
名 方式 生命 周期 管理 (如 证 书 更 新 、 证 书 撤销 等 ) 
CA 目 身 的 证 书 。 如 果 PKI 系统 中 没有 多 | 申请 者 通过 验证 CA 的 数字 签名 从 而 信任 
层级 CA, CA 证 书 就 是 自 签名 证 书 ; 如 果 | CA, 任何 申请 者 都 可 以 得 到 CA 的 证 书 ( 含 
有 多 层级 CA， 则 会 形成 一 个 CA 层次 结 | 公 钥 )， 通 过 用 其 中 的 CA 公 钥 解密 本 地 证 
构 ， 最 上 层 的 CA 是 根 CA， 它 拥有 一 个 | 书 上 CA 的 数字 签名 ， 以 验证 本 地 证 书 是 否 
CA“ 目 签名 ”的 证 书 由 该 CA 颁发 


本 地 证 书 〈 含 公 钥 ) 可 以 提供 给 对 端 ， 以 使 
本 地 证 书 | CA 颁发 给 申请 者 的 证 书 对 端 通过 共同 信任 的 CA 验证 本 端 本 地 证 书 
的 有 效 性 来 达到 验证 本 端的 合法 性 目的 


没 条 木 地 | 设备 根据 CA 证 书 给 自己 颁发 的 证 书 (与 自 | 申请 者 无 法 向 CA 申请 本 地 证 书 时 ， 可 以 通 

和 签名 证 书 不 一 样 )， 证 书 中 的 颁发 者 名 称 是 | 过 设备 生成 设备 本 地 证 书 , 可 以 实现 简单 证 
CA 服务 器 的 名 称 ， 但 没有 CA 的 数字 签名 | 书 颁发 功能 。 一 般 不 使 用 

3. 证 书 格式 

AR 系列 路 由 器 支持 如 表 8-2 所 示 的 三 种 文件 格式 在 本 地 内 存 中 保存 证 书 。 


自 签名 
证 书 






CA 证 书 








表 8-2 证 书 格式 
”格式 os 2 
pK CGI 以 二 进 制 格式 保存 证 书 ， 包 含 公 钥 ， 私 钥 可 以 包含 ， 也 可 以 不 包含 。 常 用 的 后 级 有 : .P12 


和 .PFX 
DER 以 二 进 制 格式 保存 证 书 , 包含 公 和 钥 , 但 不 包含 私 钥 。 常用 的 后 级 有 : .DER、.CER 和 .CRT 
以 ASCII 码 格 式 保存 证 书 ， 包 含 公 钥 ， 私 钥 可 以 包含 ， 也 可 以 不 包含 。 常 用 的 后 级 


PEM 
有 : .PEM、.CER 和 .CRT 


8.1.4 PKI 中 的 几 个 概念 
PKI 的 核心 任务 就 是 为 用 户 或 设备 〈 称 之 为 PKI 实体 ) 颁发 他 们 的 本 地 数字 证 书 ， 
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所 以 其 核心 技术 就 围绕 着 本 地 证 书 的 申请 、 颁 发 、 存 储 、 下 载 、 安 装 、 验 证 、 更 新 和 撤 
销 的 整个 生命 周期 展开 。 下 面 先 来 简 了 解 这 几 个 基本 概念 。 

1. 证 书 申请 

证 书 申请 即 证 书 注册 ， 就 是 一 个 PKI 实体 向 CA 申请 获取 本 地 证 书 的 过 程 。 通 常情 
况 下 ，PKI 实体 (就 是 证 书 申请 者 ) 会 生成 一 对 密 钥 ( 公 / 私 钥 )， 公 和 钥 和 上 自己 的 身份 信 
息 〈 即 PKI 实体 信息 ， 包 含 在 证 书 注册 请 求 消息 中 ) 被 发 送 给 CA 用 来 生成 本 地 证 书 ， 
私 钥 由 PKI 实体 自己 保存 ， 用 来 进行 数字 签名 和 解密 对 端 实 体 发 送 过 来 的 密 文 。 

PKI 实体 向 CA 申请 本 地 证 书 有 以 下 两 种 方式 。 

(1) 在 线 申 请 

PKI 实体 支持 通过 SCEP(Simple Certificate Enrollment Protocol, 简单 证 书 注册 协议 )， 
或 CMP (Certificate Management Protocol， 证 书 管理 协议 ) v2〈 仅 V200R008C30 及 之 后 
VRP 系统 版 本 文 持 ) 协议 疝 CA 发 送 证 书 注 册 请 求 消 息 来 申请 本 地 证 书 。 残 像 我 们 在 网 
上 同人 民法 院 申 请 一 项 起 诉 业 务 一 样 。 

【经 验 提 示 】 通 过 SCEP 协议 方式 申请 是 最 常用 ， 也 是 最 简单 的 本 地 证 书 申请 方式 ， 
因为 它 可 以 一 次 性 同步 实现 CA 证 书 、 本 地 证 书 的 下 载 、 安装 和 更 新 , 无 需 分 别 进 行 (而 
CMPv2 协议 方式 需要 分 别 进行 )， 这 些 将 在 本 章 后 面 介 绍 具 体 配 置 方法 时 讲解 。 

(2) 离线 申请 (PKCS#10 方式 ) 

离线 申请 是 指 PKI 实体 使 用 PKCS#10 格式 列 出 本 地 的 证 书 注 册 请 求 消 息 ， 并 保存 
到 文件 中 ， 然 后 通过 带 外 方式 〈 如 Web、 人 磁盘、 电子 邮件 等 ) 将 文件 发 送 给 CA 进行 证 
书 申请 。 就 像 我 们 通过 邮寄 的 方式 把 起 诉 材 料 寄 给 人 民法 院 一 样 。 

除了 以 上 两 种 方式 外 ，PKI 实体 也 可 以 给 自己 颁发 一 个 目 签 名 证 书 或 本 地 证 书 ， 实 
现价 单 的 证 书 贫 发 功能 。 这 种 方式 ， 用 户 无 法 验证 该 证 书 的 有 效 性 ， 仅 适用 于 临时 为 用 
户 提 供 接 入 需求 。 

2. 证 书 颁发 

PKI 实体 向 CA 申请 本 地 证 书 时 , 如 果 有 RA, 则 先 由 RA 审核 PKI 实体 的 身份 信息 ， 
审核 通过 后 ，RA 将 申请 信息 发 送 给 CA。CA 再 根据 PKI 实体 的 公 钥 和 身份 信息 生成 本 
地 证 书 ， 并 将 本 地 证 书信 息 发 送 给 RA。 如 果 没 有 RA， 则 直接 由 CA 审核 PKI 实体 身份 
信息 ， 并 为 PKI 实体 颁发 本 地 证 书 。 

3. 证 书 存 储 

CA 为 PKI 实体 生成 本 地 证 书后 ，CA/RA 会 将 本 地 证 书 发 布 到 证 书 /CRL 存储 库 中 ， 
为 用 户 提 供 下 载 服务 和 目录 浏览 服务 。 

4. 证 书 下 载 

PKI 实体 通过 SCEP 协议 向 CA 服务 器 下 载 已 颁发 的 证 书 (通过 SCEP 协议 申请 本 
地 证 书 时 会 同步 下 载 CA 证 书 和 本 地 证 书 ， 无 需 额外 进行 )， 或 者 通过 LDAP、HTTP、 
市 外 方式 下 载 已 颁发 的 证 书 。 该 证 书 可 以 是 自己 的 本 地 证 书 ， 也 可 以 是 CA/RA 证 书 或 
者 其 他 PKI 实体 的 本 地 证 书 。 

【经 验 提 示 】 下 载 、 安装 CA 证 书 和 其 他 PKI 实体 的 本 地 证 书 的 目的 是 根据 所 下 载 的 
CA 证 书 和 其 他 PKI 实体 的 本 地 证 书 ， 在 CA 上 对 这 些 证 书 的 有 效 性 进行 验证 。 另 外 ， 
下 载 、 安 装 CA 证 书 还 用 于 在 本 端 向 CA 申请 证 书 时 利用 CA 的 公 铀 对 申请 注册 请 求 报 
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文 进行 数字 加 密 ， 保 护 向 CA 发 送 的 证 书 注 册 请 求 报 文 。 

5. 证 书 安装 

PKI 实体 下 载 证 书后 ， 还 需 安装 证 书 ， 将 证 书 导 入 到 设备 的 内 存 中 ， 否 则 证 书 不 生 
效 。 该 证 书 可 以 是 自己 的 本 地 证 书 ， 也 可 以 是 CA/RA 证 书 ， 或 其 他 PKI 实体 的 本 地 证 
书 。 仅 当 采 用 CMPv2 协议 在 线 申请 本 地 证 书 ， 或 离线 申请 本 地 证 书 时 ， 才 需要 手动 安 
装 本 地 证 书 ; 设备 通过 SCEP 协议 申请 本 地 证 书 时 ， 会 自动 安装 CA 证 书 和 本 地 证 书 ， 
无 需 额 外 进行 。 

6. 证 书 验证 

PKI 实体 获取 对 端 实体 的 证 书后 ， 当 需要 使 用 对 端 实体 的 证 书 时 ， 例 如 在 SSL VPN 
中 ,远程 终端 要 与 SSL VPN 网 关 建 立 安全 隧道 或 安全 连接 时 , 通常 需要 验证 对 端 实体 (如 
SSL VPN 网 关 ) 的 本 地 证 书 和 CA 的 合法 性 《证 书 是 否 有 效 或 者 是 否 属 于 同一 个 CA 颁 
发 等 )。 如 果 证 书 颁发 者 的 证 书 〈 即 CA 证 书 ) 无 效 ， 则 由 该 CA 颁发 的 所 有 证 书 都 不 再 
有 效 。 但 在 CA 证 书 过 期 前 ， 设 备 会 日 动 更 新 原来 从 CA 中 下 载 、 安 装 的 CA 证 书 ， 异 
常情 况 下 才 会 出 现 CA 证 书 过 期 现象 。 

PKI 实体 可 以 使 用 CRL 或 者 OCSP (Online Certificate Status Protocol， 在 线 证 书 状 
态 协议 ) 方式 检查 证 书 是 否 有 效 。 使 用 CRL 方式 时 ，PKI 实体 先 查 找 本 地 内 存 的 CRL， 
如 果 本 地 内 存 没 有 CRL， 则 需 从 CA 中 下 载 CRL 并 安装 到 本 地 内 存 中 ， 如 果 检 查 发 现 
证 书 已 在 CRL 中 ,表示 此 证 书 已 被 撤销 。 使 用 OCSP 方式 时 ，PKI 实体 况 OCSP 服务 器 
发 送 一 个 对 于 证 书 状 态 信 息 的 请 求 ，OCSP 服务 器 会 回复 一 个 “有 效 ”( 证 书 没有 被 撤 
销 )“ 过 期 ”( 证 书 已 被 撤销 ) 或 “未 知 ”(OCSP 服务 器 不 能 判断 请 求 的 证 书 状态 ) 的 
响应 。 

7. 证 书 更 新 

当 证 书 过 期 、 密 钥 泄漏 时 ，PKI 实体 必须 更 换 证 书 ， 可 以 通过 重新 申请 (通常 是 要 
重新 创建 新 的 RSA 密 钥 对 ) 来 达到 更 新 的 目的 , 也 可 以 使 用 SCEP 协议 自动 进行 更 新 (此 
时 RSA 密 钥 不 重新 创建 )。 

设备 在 证 书 即将 过 期 前 ， 会 先 申请 一 个 证 书 作 为 “影子 证 书 ” 在 当前 证 书 过 期 后 ， 
“影子 证 书 ” 成 为 当前 证 书 ， 完 成 证 书 更 新 功能 。 所 以 申请 “影子 证 书 ” 的 过 程 ， 实 质 上 
是 一 个 新 证 书 注册 的 过 程 。 

8. 证 书 撤销 

由 于 用 户 身 份 、 用 户 信息 或 者 用 户 公 钥 的 改变 、 用 户 业 务 中 止 等 原因 ， 用 户 需 要 将 
自己 的 数字 证 书 撤销 ， 即 撤销 某 公 钥 与 用 户 身份 信息 的 绑 定 关 系 。 在 PKI 中 ，CA 主要 
采用 CRL 或 OCSP 协议 撤销 证 书 ， 而 PKI 实体 撤销 自己 的 证 书 是 通过 带 外 方式 申请 的 
(如 到 CA 网 站 上 以 Web 方式 申请 ， 或 向 CA 发 送 撤销 证 书 申请 邮件 等 )。 


8.1.5 “PKI 工作 机 制 | 


针对 使 用 PKI 的 网 络 (如 IPSecVPN 和 SSL VPN 网 络 )， 配 置 PKI 的 目的 就 是 为 指 
定 的 PKI 实体 (路 由 器 、 防 火 墙 等 设备 ) 向 CA 服务 器 申请 一 个 本 地 证 书 ， 并 由 设备 对 
本 地 证 书 的 有 效 性 进行 验证 。 整 个 PKI 基本 工作 流程 如 图 8-4 所 示 ， 具 体 描 述 如 下 各 
步 对 应 图 中 的 数字 序号 )。 
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图 8-4 PKI 基本 工作 流程 示意 图 


GD PKI 实体 向 CA 请 求 CA 证 书 ， 即 CA 服务 器 自己 的 证 书 ， 用 于 本 地 证 书 申请 者 
后 面 对 CA 的 有 效 性 进行 验证 ， 以 免 向 非法 的 机 构 申 请 证 书 。 

@ CA 收 到 PKI 实体 的 CA 证 书 请 求 时 ， 将 自己 的 CA 证 书 回复 给 PKI 实体 。 

@) PKI 实体 收 到 CA 证 书后 ， 安 装 CA 证 书 。 

当 PKI 实体 通过 SCEP 协议 申请 本 地 证 书 时 ，PKI 实体 会 用 配置 的 HASH 算法 对 所 
得 到 的 CA 证 书 进行 哈 希 运算 ,得 到 CA 证 书 摘要 消息 〈 即 数字 指纹 )， 与 提前 通过 带 外 
方式 向 CA 服务 器 获取 的 CA 数字 指纹 进行 比较 ， 如 果 一 致 ， 则 PKI 实体 会 接受 所 获得 
的 CA 证书， 否则 PKI 实体 会 丢弃 该 CA 证 书 。 


3 
Sm 






如果 PKI 认证 中 心 有 RA 服务 器 ， 则 PKI 实体 也 会 下 载 RA 证 书 。 由 RA 服务 器 
审核 PKI 实体 的 本 地 证 书 申请 ， 审 核 通 过 后 将 申请 信息 发 送 给 CA 服务 器 来 颁发 本 地 
证 书 。 

由 验证 CA 证 书 有 效 后 ，PKI 实体 就 开始 同 CA 服务 器 发 送 证 书 注册 请 求 消息 〈 包 
括 自己 的 公 铀 、PKI 实体 信息 ， 需 要 PKI 实体 事先 创建 好 RSA 密 钥 对 )。 

当 PKI 实体 通过 SCEP 协议 申请 本 地 证 书 时 ，PKI 实体 对 证 书 注 册 请 求 消息 使 用 
CA 证 书 的 公 钥 进行 加 密 ， 并 使 用 PKI 实体 自己 的 私 钥 进行 数字 签名 。 如 果 CA 服务 器 
要 求 验证 挑战 密码 ， 则 证 书 注 册 请 求 消息 必须 携带 挑战 密码 〈 通 过 配置 指定 ， 且 要 与 CA 
服务 器 的 挑战 密码 一 致 )。 
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(©) CA 服务 器 收 到 PKI 实体 的 证 书 注册 请 求 消息 。 

当 PKI 实体 通过 SCEP 协议 申请 本 地 证 书 时 ，CA 服务 器 使 用 自己 的 私 钥 对 证 书 注 
册 请 求 消 息 进 行 解 密 ， 得 到 了 PKI 实体 的 公 钥 解 ， 然 后 再 用 PKI 实体 的 公 钥 对 证 书 注册 请 
求 消 息 的 数字 签名 进行 解密 ， 验 证 数字 指纹 。 如 果 数 字 签名 解密 成 功 ， 则 CA 服务 器 审 
核 PKI 实体 身份 等 信息 ， 审 核 通过 后 ， 同 意 PKI 实体 的 申请 ， 为 其 颁发 本 地 证 书 。 然 后 
CA 服务 器 使 用 PKI 实体 的 公 钥 对 所 颁发 的 本 地 证 书 进行 加 密 ， 使 用 CA 服务 器 自己 的 
私 钥 对 所 颁发 的 本 地 证 书 进行 数字 签名 ， 将 证 书 发 送 给 PKI 实体 ， 同 时 也 会 发 送 到 证 书 / 
CRL 存储 库 。 

(@) PKI 实体 收 到 CA 服务 器 发 送 的 证 书信 息 。 

当 PKI 实体 通过 SCEP 协议 申请 本 地 证 书 时 ，PKI 实体 使 用 自己 的 私 钥 对 所 收 到 的 
本 地 证 书 进行 解密 ， 并 使 用 原来 获取 的 CA 证 书 中 的 公 钥 解密 数字 签名 ， 以 验证 数字 指 
纹 。 全 部 解密 成 功 后 ，PKI 实体 接收 所 收 到 的 本 地 证 书信 息 ， 然 后 在 本 地 安装 所 收 到 的 
本 地 证 书 。 

(D PKI 实体 间 互 相通 信 时 ， 还 需要 各 上 自 获取 并 安装 对 端 实体 的 本 地 证 书 。PKI 实体 
可 以 通过 HTTP/LDAP 等 方式 在 CA 上 下 载 对 端的 本 地 证 书 。 在 一 些 特 殊 的 场景 中 ， 例 
如 IPSec VPN 和 SSL VPN 应 用 中 ，PKI 实体 会 把 各 自 的 本 地 证 书 发 送 给 对 端 。 

PKI 实体 安装 对 端 实体 的 本 地 证 书后 ， 通 过 CRL 或 OCSP 方式 在 CA 服务 器 上 
验证 对 端 实体 的 本 地 证 书 的 有 效 性 。 

 @@ 通过 验证 后 , PKI 实体 间 才 可 以 使 用 对 端 证 书 的 公 钥 为 癌 对 端 发 送 的 数据 进行 加 

密 ， 保 障 安全 通信 。 


8.1.6 ” ”PKI 的 主要 应 用 场景 


PKI 的 应 用 很 广 ， 特 别 是 像 在 IPSec VPN、SSL VPN 等 场景 中 ， 可 为 设备 提供 身份 
认证 。 

1. 在 IPSecVPN 中 应 用 

如 图 8-5 所 示 ， 两 台 路 由 器 设备 作为 网 络 A 和 网 络 B 的 出 口 网 关 , 网 络 A 和 网 络 B 
的 内 网 用 户 通过 公 网 相互 通信 。 因 为 公 网 是 不 安全 的 网 络 ， 为 了 保护 数据 的 安全 性 ， 设 
备 采 用 IPSec 技术 ， 与 对 端 设 备 建 立 IPSec 隧道 。 通 常情 况 下 ，IPSec 采用 预 共享 密 钥 方 
式 协商 IPSec， 但 是 在 大 型 网 络 中 ，IPSec 采用 预 共 享 密 钥 方 式 时 存在 密 钥 交换 不 安全 的 
问题 。 此 时 设备 之 间 可 采用 基于 PKI 的 证 书 进行 身份 认证 。 

采用 基于 PKI 的 证 书 进行 身份 认证 后 ，IPSec 在 进行 IKE 协商 过 程 中 交换 密 钥 时 会 
通过 证 书 对 通信 双方 进行 身份 认证 ,保证 了 密 钥 交换 的 安全 性 。 而 且 , 证 书 可 以 为 IPSec 
提供 集中 的 密 钥 管理 机 制 ， 并 增强 整个 IPSec 网 络 的 可 扩展 性 。 同 时 ， 在 采用 证 书 认证 
的 IPSec 网 络 中 ， 每 台 设 备 都 拥有 PKI 认证 中 心 颁发 的 本 地 证 书 。 有 新 设备 加 入 时 ， 只 
需要 为 新 增加 的 设备 申请 一 个 证 书 ， 新 设备 就 可 以 与 其 他 设备 进行 安全 通信 ， 而 不 需要 
对 其 他 设备 的 配置 进行 修改 ， 这 大 大 减少 了 配置 工作 量 。 

2. 在 SSLVPN 中 应 用 

如 图 8-6 所 示 ，SSL VPN 可 以 为 出 差 员工 提供 方便 的 接 入 功能 ， 使 其 在 出 差 期 间 也 
可 以 正常 访问 内 部 网 络 。 


第 8 章 PKIl 配置 与 管理 473 


PKI 认证 中 心 








申请 并 获得 证 书 
一 一 一 -一 交换 证 书 


国 证 书 
图 8-5 PKI 在 IPSecVPN 中 的 应 用 示例 


PKI 认证 中 心 








申请 并 获得 证 书 
一 一 一 一 交换 证 书 
证 书 


8-6 PKI 在 SSLVPN 中 的 应 用 示例 


通常 情况 下 ， 出 差 员 工 使 用 用 户 名 和 密码 的 方式 接 入 内 部 网 络 。 但 是 ， 这 种 安全 手 
段 存在 保密 性 差 的 问题 ， 一 旦 用 户 名 和 密码 泄露 ， 可 能 导致 非法 用 户 接 入 内 部 网 络 ， 从 
而 造成 信息 泄漏 。 为 了 提高 出 差 员 工 访问 内 部 网 络 的 安全 性 ， 设 备 可 以 采用 PKI 的 证 书 
方式 来 对 用 户 进 行 认证 。 

在 SSL VPN 应 用 中 , SSL VPN 客户 端 可 以 通过 证 书 验证 SSL VPN 网 关 的 身份 ; SSL 
VPN 网 关 也 可 以 通过 证 书 来 验证 客户 端 用 户 的 身份 。SSL VPN 使 用 证 书 进 行 认证 的 流程 
如 下 。 

(1) 客户 端 和 服务 器 分 别 疝 PKI 认证 中 心 CA) 申请 自己 的 本 地 证 书 。 

(2〉CA 为 客户 闹 和 服务 器 分 别 颁 发 本 地 证 书 。 

(3) 客户 端 向 SSL VPN 网 关 请 求 建立 SSL 连接 ，SSL VPN 网 关 会 发 送 自己 的 本 地 
证 书 级 客户 闯 。 
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(4) 客户 问 对 SSL VPN 网 关 的 本 地 证 书 进行 认证 。 认 证 通过 后 ， 客 户 端 与 网 关 成 功 
建立 SSL 连接 。 但 此 时 ， 只 是 在 客户 端 与 SSL VPN 网 关 之 间 建立 了 SSL VPN 隧道 ， 客 
户 疹 中 的 用 户 还 没有 成 功 登 录 到 SSL VPN 网 关 。 

(5) SSL VPN 网 关 通 过 证 书 对 客户 端 用 户 进行 身份 认证 ， 可 以 是 证 书 匿名 认证 ， 也 
可 以 是 证 书 挑战 认证 。 证 书 匿名 认证 是 指 设备 仅 通 过 验证 用 户 的 客户 端 证 书 来 验证 用 户 
的 身份 ; 证 书 挑战 认证 是 指 将 验证 客户 端 证 书 与 用 户 名 和 密码 认证 结合 起 来 。 

(6) 用 户 成 功 登 录 后 ， 可 以 在 客户 端 上 访问 内 部 网 络 。 





下 面 各 节 将 介绍 在 常规 的 PKI 本 地 证 书 申请 过 程 中 所 涉及 到 的 各 项 配置 任务 的 
具体 配置 方法 ， 其 基本 流程 为 : 配置 本 地 证 书 申请 的 预 配置 一 本 地 证 书 申请 或 更 新 一 本 
地 证 书 下 载 和 安装 一 本 地 证 书 的 有 效 性 验证 。 但 在 通过 SCEP 协议 申请 本 地 证 书 时 证 书 
的 申请 、 下 载 、 安 装 是 同步 的 ， 即 合 在 一 步 进 行 。 


8.2 ”申请 本 地 证 书 的 预 配置 


本 节 介 绍 用 户 在 回 CA 申请 本 地 证 书 前 所 需要 进行 的 一 些 预 配置 ， 即 需要 进行 的 一 
些 准备 工作 。 这 些 配 置 都 是 正式 同 CA 服务 器 申请 本 地 证 书 前 必须 要 准备 好 的 ， 有 具体 配 
置 任务 包括 以 下 5 个 方面 : 

e。 配置 PKI 实体 信息 ; 

e 配置 PKI 域 ; 

e。 配置 RSA 密 钥 对 ; 

。 配置 为 PKI 实体 下 载 CA 证 书 ; 

e (可 选 ) 配置 为 PKI 实体 安装 CA 证 书 。 





Wy 在 采用 SCEP 协议 进行 本 地 证 书 申请 时 ，CA 证 书 的 下 载 和 安装 无 需 在 此 单独 进 
行 配置 ， 会 在 申请 过 程 中 自动 进行 。 


8.2.1 配置 PKI 实体 信息 


本 地 证 书 是 由 CA 服务 器 进行 数字 签名 并 颁发 的 ， 是 PKI 实体 RSA 公 钥 与 PKI 实 
体 身份 信息 的 绑 定 。PKI 实体 信息 就 是 PKI 实体 的 基础 身份 信息 〈 主 要 包括 一 些 名 称 标 
识 和 位 置信 息 ), CA 服务 器 根据 PKI 实体 提供 的 身份 信息 来 唯一 标识 证 书 申请 者 。 因 此 ， 
申请 本 地 证 书 时 ，PKI 实体 必须 将 包含 PKI 实体 信息 的 证 书 注册 请 求 消息 发 送 给 CA 服 
务 妖 。 





ee CA 服务 器 可 以 由 企业 用 户 自己 配置 如 用 Windows Server 2008/2012 等 服务 器 
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系统 配置 ， 也 可 以 由 第 三 方 认证 机 构 提 供 。 

PKI 实体 信息 的 具体 配置 步骤 见 表 8-3 (各 实体 信息 之 间 没 有 严格 的 配置 选 后 次 序 之 
分 )。 一 般 只 需 创 建 PKI 实体 ， 配 置 通用 名 称 即 可 ， 可 选 的 配置 根据 需要 选择 配置 。 

表 8-3 


配置 PKI 实体 信息 的 步 又 





system-view 
| 入 系统 视 
例如 : <Huawei> system-view 进入 系统 视图 


创建 PKI 实体 并 进入 PKI 实体 视图 ， 或 者 直接 进入 PKI 
实体 视图 。 参数 entity-name 用 来 指定 PKI 实体 的 名 称 ,, 字 
符 串 形式 ， 不 支持 空格 ， 区 分 大 小 写 ， 长 度 范围 为 1 一 64。 
以 下 PKI 实体 的 信息 将 作为 证 书 中 主题 (Subject) 部 分 的 
内 容 。 

缺 省 情况 下 ， 系 统 未 配置 PKI 实体 ， 可 用 undo pki entity 
entity-name 命令 删除 指定 的 PKI 实体 


配置 PKI 实体 的 通用 名 称 ， 用 来 唯一 标识 一 个 PKI 实体 。 
参数 common-name 用 来 指定 PKI 实体 的 通用 名 称 ,字符 串 
形式 ， 区 分 大 小 写 ， 长 度 范围 为 1 一 64。 文 持 的 字符 为 姑 文 
大 写字 母 (A~Z)、 英 文 小 写字 母 (a 一 z)、 数 字 〈0 一 9)、 
撤 号 (中 、 等 号 (=) 小 插 号 《( ))s 加 号 (+ 扣 号 (,》、 
减 号 (-)、 和 句号 〈.)、 斜 枉 〈/)、 冒 号 〈:) 以 及 空格 。 
【说 明 】PKI 实体 创建 后 , 需要 配置 PKI 实体 的 通用 名 来 唯 
一 标识 一 个 PKI 实体 。 执行 本 命令 配置 PKI 实体 的 通用 名 
后 ， 设 备 进行 证 书 申 请 时 ， 发 送 给 CA 服务 器 的 证 书 请 求 
消息 中 会 携带 该 信息 。CA 服务 器 接收 到 证 书 请 求 报 文 后 ， 
验证 该 请 求 的 有 效 性 。 如 果 请 求 有 效 ， 则 生成 PKI 实体 的 
数字 证 书 ， 该 数字 证 书 中 会 包含 PKI 实体 的 通用 名 信息 。 
缺 省 情况 下 , 系统 未 配置 PKI 实体 的 通用 名 称 , 可 用 undo 
common-name 命令 删除 PKI 实体 的 通用 名 称 


(可 选 ) 配置 PKI 实体 的 IP 地 址 。 命 令 中 的 参数 和 选项 说 
明 如 下 。 

。 unstructed-address: 可 选项 ， 表 示 IP 地 址 作为 PKI 实 
体 的 PKCS#9 非 结构 化 地 址 。 不 配置 此 参数 时 ， 卫 地 址 作 
为 PKI 实体 的 一 种 别名 。 在 PKI 实体 申请 本 地 证 书 时 ， 
如 果 配 置 了 enrollment-request specific 命令 ， 则 可 配置 
此 选项 。 


pki entity entity-name 
2 例如 : [Huawei] pki entity 
entityl 


common-name common-name 
3 例如 : [Huawei-pki-entity- 
entityl] common-name lycb 


ip-address [ unstructed- 


address ] { ip-address | interface- 
type interface-number } 

例如 : [Huawei-pki-entity- 
entity1] ip-address 10.1.1.1 





e ip-address: 二 选 一 参数 ， 指 定 PKI 实体 的 IP 地 址 。 

e interface-type interface-number : 二 选 一 人 参数， 指定 以 指 
定 接口 IP 地 址 作为 PKI 实体 下 地址 。 

【说 明 】 为 了 更 好 地 标识 证 书 所 有 者 的 身份 ， 可 以 配置 PKI 
实体 的 IP 地 址 作为 PKI 实体 的 一 种 别名 ,配置 本 命令 后 将 
会 在 证 书 请 求 消息 中 携带 PKI 实体 的 卫 地 址 信息 ,成 功 申 
请 证 书后 在 证 书 中 也 会 包含 PKI 实体 IP 地 址 信息 ,也 可 用 
于 证 书 申 请 的 有 效 性 之 一 .以 下 各 步 中 的 其 他 参数 也 一 样 。 
缺 省 情况 下 ， 系 统 未 配置 PKI 实体 的 人 P 地 址 ， 可 用 unde 
ip-address [ unstructed-address ] 命令 删除 PKI 实体 的 卫 
地 址 
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fqdn [ unstructed-name | fgdn- 
name 

例如 : [Huawei-pki-entity- 
entityl ]fqdn example.com 


email email-address 

例如 : [Huawel-pki-entity- 
entity1] email test@Oexample. 
com 


country country-code 
例如 : [Huawei-pki-entity- 
entityl] country CN 


locality locality-name 
例如 : [Huawei-pki-entity- 
entityl | locality ChangSha 


state state-name 
例如 : [Huawei-pki-entity- 
entityl | state HuNan 
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( 续 表 ) 








(可 选 ) 配置 PKI 实体 的 FQDN 名 称 。FQDN 是 PKI 实体 
在 网 络 中 的 唯一 标识 ， 由 一 个 主机 名 和 域名 组 成 ， 可 以 被 
解析 为 IP 地 址 , 例如 www.example.com。 一 般 对 于 应 用 服 
务 器 才 需 要 配置 ， 对 于 网 络 设备 一 般 可 不 配置 。 命 令 中 的 
参数 和 选项 说 明 如 下 。 

e unstructed-name: 可 选项 ， 表 示 FQDN 作为 PKI 实体 
的 PKCS#9 非 结构 化 名 字 。 不 配置 此 参数 时 ，FQDN 作为 
PKI 实体 的 一 种 别名 。PKI 实体 申请 本 地 证 书 时 ， 如 果 配 
苗 了 enrollment-request Specific 命令 ， 则 可 选择 此 选项 。 
e fgdn-name: 指定 PKI 实体 的 FQDN 名 称 ， 字 符 串 形式 ， 
区 分 大 小 写 ， 长 度 范围 为 1~255。 支持 的 字符 为 英文 大 写 
字母 (A~Z)、 英 文 小 写字 母 (a~z)、 数 字 (0~9)、 撤 
号 (')、 等 号 (=)、 小 括号 〈(( ))、 加 号 (+)、 减 号 (-)、 句 
号 〈.)、 斜 枉 〈/)、 冒 号 〈:)、@、 下 划 线 〈 ) 以 及 空格 。 
缺 省 情况 下 ， 系 统 未 配置 PKI 实体 的 FQDN 名 称 ， 可 用 
undo fqdn [ unstructed-name ] 命令 删除 PKI 实体 的 FQDN 
名 称 


(可 选 ) 配置 PKI 实体 的 电子 邮箱 地 址 。 
缺 省 情况 下， 系统 未 配置 PKI 实体 的 电子 邮箱 地 址 ， 可 用 
undo email 命令 删除 PKI 实体 的 电子 邮箱 地 址 


(可 选 ) 配置 PKI 实体 所 属 的 国家 代码 ， 也 可 作为 PKI 实 
体 的 一 种 别名 。 参 数 country-code 用 来 指定 PKI 实体 的 国 
家 代码 ， 用 标准 的 两 字母 代码 表示 。 如 果 输 入 的 国家 代码 
包含 小 写字 母 ， 创 建 证 书 请 求 文 件 时 系统 自动 将 小 写字 母 
转换 为 对 应 的 大 写字 母 ,可 以 在 ISO3166 中 查询 国家 代码 。 
例如 ,“CN” 是 中 国 的 合法 国家 代码 ,“US” 是 美国 的 合 
法 国家 代码 。 

country 命令 删除 PKI 实体 所 属 的 国家 代码 

(可 选 ) 配置 PKI 实体 所 在 的 地 理 区 域名 称 ， 如 市 、 县 名 
称 。 参 数 locality-name 用 来 指定 PKI 实体 的 地 理 区 域名 称 ， 
为 字符 串 形 式 ， 长 度 范围 为 1 一 32， 区 分 大 小 写 。 支 持 的 
字符 为 英文 大 写字 母 (A~Z)、 英 文 小 写字 母 (a~z)、 数 
字 (0~~9)、 撤 号 (')、 等 号 (=)、 小 括号 (())、 加 号 (+)、 
如 号 (,)、 减 号 (-)、 句号 (.)、 斜 杜 (/)、 冒 号 (:) 以 及 
空格 。 

缺 省 情况 下 ， 系 统 未 配置 PKI 实体 的 地 理 区 域名 称 ， 可 用 
undo locality 命令 删除 PKI 实体 所 在 的 地 理 区 域名 称 
(可 选 ) 配置 PKI 实体 所 属 的 州 或 省 名 称 。 参 数 state-name 
用 来 指定 PLI 实体 所 属 的 州 或 省 名 称 ， 字 符 串 形式 ， 长 度 
范围 为 1 一 32， 区 分 大 小 写 。 支 持 的 字符 为 英文 大 写字 母 
(A 一 Z)、 瑞 文 小 写字 母 (a 一 z)、 数 字 (0 一 9)、 搬 号 〈'")、 
等 号 (=)、 小 括号 〈())、 加 号 (+)、 逗 号 (,)、 减 号 (-)、 
句号 (.)、 斜 枉 〈/)、 冒 号 〈(:) 以 及 空格 。 

缺 省 情况 下 ， 系 统 未 配置 PKI 实体 所 属 的 州 或 者 省 ， 可 用 
undo state 命令 删除 PKI 实体 所 属 的 州 或 省 
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organization 
organization-name 

例如 : [Huawei-pki-entity- 
entityl | organization HuaWel 


organization-unit 
organization-unit-name 
例如 : [Huawei-pki-entity- 
entity1] organization-unit 
Groupl, Sale 


serial-number 
例如 : [Huawei-pki-entity- 
entityl | serial-number 





8.2.2 配置 PKI 城 


PKI 域 是 实体 注册 证 书 所 需 信息 的 集合 ， 


(可 选 ) 配置 PKI 实体 所 属 的 组 织 〈 单 位 ) 名 称 。 参 数 


477 


二 





organization-name 用 来 指定 PKI 实体 所 属 组 织 的 名 称 ， 字 
符 串 形式 ， 区 分 大 小 写 ， 长 度 范 围 为 1 一 32。 支 持 的 字符 
为 英文 大 写字 母 (A~Z)、 英文 小 写字 母 (a~z)、 数字 (0 一 
9)、 撤 和 写 (')、 等 号 (=)、 小 插 号 (( ))、 加 号 (+)、 和 去 号 
(,)、 减 号 (-)、 句 号 (.)、 斜 杜 (/)、 冒 号 (:) 以 及 空格 
organization 命令 删除 PKI 实体 所 属 的 组 织 名 称 

(可 选 ) 配置 PKI 实体 所 属 的 部 门 名 称 。 参 数 organization- 
unit-name 用 来 指定 PKI 实体 所 属 部 门 的 名 称 ， 字 符 串 形 
式 ， 区 分 大 小 写 ， 每 个 部 门 长 度 范围 是 1 一 31。 各 个 部 门 
之 间 通 过 喘 文 逗号 阳 开 ， 即 所 有 部 门 的 总 长 度 范 围 是 1 一 
i191 

文 持 的 字符 为 英文 大 写字 母 (A 一 Z)、 英 文 小 写字 母 〈a 一 
Zz)、 数 字 (0 一 9)、 搬 号 (7)、 等 号 (=)、 小 插 号 〈( ))、 

加 与 〈+)、 逗 号 〈,)、 减 号 (-)、 句 号 (.)、 斜 杜 (/)、 冒 
号 〈:) 以 及 空格 。 

缺 省 情况 下 ， 系 统 未 配置 PKI 实体 所 在 的 部 门 名 称 ， 可 用 
undo organization-unit 命 令 删 除 PKI 实 体 所 属 的 部 门 名 称 
(可 选 ) 将 设备 的 序列 号 添加 到 PKI 实体 。 

缺 省 情况 下 ， 系 统 未 将 设备 的 序列 号 添加 到 PKI 实体 ， 可 
用 undo serial-number 命令 恢复 缺 省 配置 


| 建 PKI 域 后 便于 其 他 应 用 引用 PKI 的 配 


置 ， 比 如 IKE、SSL 等 。PKI 域 的 具体 配置 方法 见 表 8-4。 





8-4 


system-view 
例如 : <Huawei> system-view 


pki realm realm-name 


例如 : [Huaweil] pki realm abc 








配置 PKI 域 的 步 又 





进入 系统 视图 


创建 PKI 域 并 进入 PKI 域 视图 ,或 者 直接 进入 PKI 域 视图 。 
参数 realm-name 用 来 指定 PKI 域名 , 字符 串 形式 , 不 支持 
【说 明 】PKI 域 是 PKI 实体 完成 证 书 注册 过 程 需 要 的 配置 信 
息 集合 ， 通 过 PKI 域 的 形式 ， 把 PKI 实体 进行 证 书 注册 需要 
配置 的 一 些 注 册 信 息 组 织 起 来 。PKI 域 只 在 本 设备 上 有 效 ， 
即 一 个 设备 上 配置 的 PKI 域 对 CA 和 其 他 设备 是 不 可 见 的 。 
通过 PKI 域 申请 的 本 地 证 书 , 证 书 名 称 会 加 上 “ local.cer”， 
所 以 创建 的 PKI 域 的 名 称 不 能 超过 50 个 字符 ， 若 超过 50 
个 字符 ， 可 能 会 导致 证 书 文件 名 称 超过 64 而 无 法 保存 在 
存储 器 上 。 

缺 省 情况 下 ， 设 备 存在 名 称 为 default 的 PKI 域 ， 且 该 域 
只 能 修改 不 能 删除 ， 可 用 undo pki realm realm-name 命令 


取消 创建 的 PKI 域 
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和 
(可 选 ) 配置 PKI 域 的 证 书 获 取 方式 为 自 签名 方式 。 这 样 

设备 可 通过 default 域 下 产生 的 自 签 名 证 书 来 文 持 默认 
https 功能 的 实现 或 满足 用 户 临 时 接 入 网 络 的 需求 。 但 设备 
不 支持 对 内 置 的 自 签 名 证 书 进行 生命 周期 管理 〈 如 证 书 注 
册 、 证 书 更 新 、 证 书 撤销 等 )， 为 了 确保 设备 和 证 书 的 安 
全 ， 建 议 用 户 替 换 为 自己 的 证 书 。 

enrollment self-signed 【说 明 】 自 签名 证 书 又 称 为 根 证 书 ， 是 自己 颁发 给 自己 的 
3 例如 : [Huawei-pki-realm-abc] | 证 书 , 即 证 书 中 的 颁发 者 和 主体 名 相同 。 申请 者 无 法 向 CA 

enrollment self-signed 申请 本 地 证 书 时 ， 可 以 通过 设备 生成 自 签名 证 书 ， 可 以 实 
现 简 单 证 书 颁发 功能 。 配置 PKI 域 的 证 书 获 取 方 式 为 自 签 
名 方式 时 ， 首 先 需要 清除 该 PKI 域 下 通过 SCEP 方式 获取 
的 证 书 。 
缺 省 情况 下 ，PKI 域 的 证 书 获取 方式 为 SCEP 方式 ， 可 用 
undo enrollment self-signed 命令 恢复 PKI 域 的 证 书 获取 方 





式 为 缺 省 情况 
指定 申请 证 书 的 PKI 实体 , 即 在 8.2.1 配置 好 的 PKI 实体 。 
pe 一 个 PKI 域 下 只 能 绑 定 一 个 PKI 实体 。 


本 例如 : [Huawei-pki-realm-abc] 
entity entityl 


缺 省 情况 下 ,未 指定 申请 证 书 的 PKI 实 体 , 可 用 undo entity 
命令 取消 指定 的 申请 证 书 的 PKI 实体 


配置 PKI 域 信任 的 CA。 参数 ca-name 用 来 指定 PKI 域 信 
任 的 CA 名 称 ， 字 符 串 形式 ， 文 持 空 格 ， 区 分 大 小 号， 长 


ca id ca-name 度 范围 是 1 一 63。 
3 例如 : [Huawei-pki-realm-abc] : PKI 域 下 指定 设备 信任 的 CA 后 ， 后 面 的 本 地 证 书 的 申 


ca id root ca 青 、 获 取 、 废 除 及 查询 均 通 过 该 CA 执行 。 
ra 未 配置 PKI 域 信任 的 CA， 可 用 undo ca id 
命令 取消 配置 PKI 域 信任 的 CA 


配置 证 书 注册 服务 器 的 URL。 命 令 中 的 参数 和 选项 说 明 
如 下 。 

e esc: 可 选项 ， 指 定 以 ASCII 码 形式 输入 URL 地 址 。 仅 
V200R006 及 以 后 版 本 VRP 系统 文 持 。 

【说 明 】 可 选项 ese 的 作用 是 支持 以 ASCII 码 形 式 输入 包含 
“9” 的 URL 地址， 格式 必须 为 “\x3f?，3f 为 字符 “?” 的 
16 进 制 ASCII 码 。 例如 ， 如果 用 户 想 输入 “http://abc.com? 
enroliment-url [esc ] url pagel”， 则 对 应 的 URL 为 “http://abc.com\x3fpagel”; 如 
We 果 用 户 想 同时 输入 “?” 和 “Wx3f”( http://www.abc.com? 


、 ， a pagel\x3f )， 则 对 应 的 URL 为 http://www.abc.com\x3 
1: [Huawei-pki-realm-abc] fpagelNx3f。 


enrollment-url http://10.137. el | 
145.158:8080/certsrv/mscep/ms | 。 214: 指定 证 书 注 册 服 务 器 的 URL。URL 地 址 格式 为 


cep.dll ra http://server_Iocation/ca_script_Iocation。 其 中 ,server_location 
目前 仅 支持 IP 地 址 的 表示 方式 ， 不 支持 域名 解析 ，ca_ 
script_location 是 CA 在 服务 器 主机 上 的 应 用 程序 脚本 的 路 
径 。 比 如 : http://10.137.145.158:8080/certsrv/mscep/mscep. 
dll。 

。 interval minutes: 可 选 参数 ， 指 定 两 次 证 书 注册 状态 碍 
询 之 间 的 时 间 间 隔 ， 整 数 形式 ， 取 值 范 围 : 1 一 1440， 单 
位 为 分 钟 ， 缺 省 为 1Imin。 
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enrollment-url |[ esc ] ur/l 

[ interval minutes ] [ times 
count | [ ra | 

例如 : [Huawei-pki-realm-abc] 
enrollment-url http://10.137. 
145.158:8080/certsrv/mscep/ms 
cep.dll ra 


fingerprint { mdS | shal | 
sha256 } fingerprint 

例如 : [Huawei-pki-realm-abc] 
fingerprint shal 7A34D94624 
B1C1BCBF6D763C4A67035SD 
SB378EAF 


rsa-key-size size 
例如 : [Huawei-pki-realm-abc] 
rsa-key-size 2048 


password cipher password 


例如 : [Huawei-pki-realm-abc] 
password cipher 123456 





” 【《〈 续 衣 ) 
pr 


e times count: 可 选 参数 ， 指 定 证 书 注册 状态 查询 的 最 大 
查询 次 数 ， 整 数 形 式 ， 取 值 范围 : 1 一 100， 单 位 为 次 数 ， 
V200R006 以 前 版 本 的 缺 省 值 为 100 次 ,V200R006 及 以 后 
版 本 的 缺 省 值 为 5。 

erTra: 可 选项 ， 指 定 经 过 RA 注册 证 书 ， 如 果 没 有 RA 服 
务 器 ， 则 不 要 选择 此 选项 ， 由 CA 服务 器 直接 注册 。 
缺 省 情况 下 ， 未 配置 证 书 注册 服务 器 的 URL， 可 用 undo 
enrollment-url 命令 删除 配置 的 证 书 注册 服务 器 的 URL 


配置 验证 CA 证 书 时 使 用 的 数字 指纹 。 命 令 中 的 参数 和 选 
项 说 明 如 下 。 

。 mds: 多 选 一 选项 ， 指 定 采 用 MD5 消息 摘要 算法 。 

。 shal: 多 选 一 选项 ， 指 定 采 用 SHA1 消息 摘要 算法 。 

。 sha256: 多 选 一 选项 ， 指 定 采 用 SHA2-256 消息 摘要 算 
法 。 仅 V200R006 及 以 后 版 本 VRP 系统 支持 。 

。 fingerprint: 指定 指纹 值 ， 指 纹 为 16 进 制 形式 输入 的 字 
符 串 ， 需 要 事先 从 CA 获取 。MD5 数字 指纹 必须 是 32 个 字 
符 〈16 个 字 节 )，SHA1 数字 指纹 必须 为 40 个 字符 (20 个 字 
六)，SHA2-256 数字 指纹 必须 为 64 个 字符 (32 个 字 节 ) 。 
在 获取 CA 证 书 的 时 候 ， 设 备 本 地 用 MD5 或 SHA1 算法 
计算 CA 证 书 的 指纹 ， 然 后 和 本 地 配置 的 数字 指纹 进行 比 
较 ， 如 果 一 致 就 接收 该 CA 证 书 。 在 验证 证 书 的 时 候 ， 用 
CA 证 书 的 公 钥 去 验证 数字 签名 ， 公 钥 能 够 解 开 签名 就 验 
证 通过 。 

缺 省 情况 下 ， 未 配置 验证 CA 证 书 时 使 用 的 指纹 ， 可 用 
undo fingerprint 命令 删除 配置 的 指纹 


(可 选 ) 配置 RSA 密 钥 长 度 ， 整 数 形 式 ， 不 同 机 型 取 值 范 
围 有 所 不 同 ， 但 只 能 是 512 的 整数 倍 。V200R006 及 以 后 
版 本 VRP 系统 不 支持 此 命令 ， 这 些 版 本 是 在 具体 创建 RSA 
密 钥 对 时 配置 ， 参 见 下 节 介 绍 。 

【说 明 】RSA 密 钥 对 包括 一 个 RSA 公 钥 和 一 个 RSA 私 钥 ， 
当 终 端 主机 A 申请 证 书 时 ， 证 书 请 求 中 必须 包含 公 钥 信 
息 。 当 终端 主机 A 被 授予 证 书后 ,证 书 中 已 包含 了 公 铀 信 
息 ， 对 端 主 机 B 可 以 使 用 终端 主机 A 的 公 钥 加 密 发 送 给 终 
端 主机 A 的 信息 。 私 钥 由 终端 主机 A 自己 保存 ， 用 来 解 
密 对 端 主 机 B 发 送 过 来 的 数据 或 对 自己 发 送 的 数据 进行 数 
字 签 名 。 

缺 省 情况 下 ,RSA 密 钥 长 度 为 1024, 可 用 undo rsa-key-size 
命令 恢复 RSA 密 钥 长 度 为 缺 省 值 


(可 选 ) 配置 SCEP 证 书 申请 时 使 用 的 挑战 密码 , 也 是 证 书 
撤销 密码 〈 以 防 误 撤销 )， 字 符 串 形式 ， 区 分 大 小 写 ， 字 
符 串 中 不 能 包含 “? ”和 空格 , 可 以 是 1 一 31 的 明文 密码 ， 
也 可 以 是 长 度 范 围 是 31 一 56 位 的 密 文 密码 。 

缺 省 情况 下 ， 未 配置 SCEP 证 书 申请 时 使 用 的 挑战 密码 ， 
可 用 undo password 命令 删除 配置 的 证 书 撤销 时 使 用 密码 
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PR 《 续 表 》 
(可 选 ) 配置 建立 TCP 连接 使 用 的 源 接口 ， 可 以 是 物理 接 
口 ， 也 可 以 是 逻辑 接口 。 请 确保 该 接口 为 三 层 接 口 ， 且 接 
口 下 已 经 配置 了 耳 地 址 。 该 接口 卫 地 址 作为 设备 与 SCEP、 
OCSP 服务 器 建立 TCP 连接 的 源 IP 地 址 。 
缺 省 情况 下 ， 设 备 使 用 出 接口 作为 TCP 连接 使 用 的 源 接 
口 ， 可 用 undo source interface 命令 恢复 建立 TCP 连接 的 
源 接口 为 缺 省 情况 





source interface interface-type 
interface-number 

例如 : [Huawei-pki-realm-abc] 
source interface vlanif 100 







配置 好 PKI 域 后 ， 可 在 任意 视图 下 执行 display pki realm [ pki-realm-name ] 命 令 查 
看 本 地 所 有 或 指定 PKI 域 的 配置 信息 。 


8.2.3 配置 RSA 密 钥 对 


本 地 证 书 是 由 CA 进行 数字 签名 并 颁发 的 ， 是 PKI 实体 RSA 公 钥 与 PKI 实体 身份 
信息 的 绑 定 。 因 此 ， 申 请 本 地 证 书 时 ， 需 先 创 建 本 地 RSA 密 钥 对 ， 以 生成 PKI 实体 的 
公 钥 和 私 钥 。 公 和 钥 由 PKI 实体 在 申请 本 地 证 书 时 发 送 给 CA， 可 以 被 CA 用 来 加 密 明文 
(如 加 密 同 PKI 实体 发 送 的 本 地 证 书 ); 私 钥 由 PKI 实体 保留 ， 可 以 被 用 来 数字 签名 和 解 
密 CA 发 送 过 来 的 本 地 证 书 密 文 〈 当 然 也 可 以 是 其 他 密 文 )。 

配置 RSA 密 钥 对 的 方式 有 以 下 两 种 。 

(1) 手动 创建 RSA 密 钥 对 

在 华为 设备 上 可 以 直接 在 设备 内 存 中 手动 创建 RSA 密 钥 对 (包括 公 钥 和 私 钥 )， 这 
样 也 就 无 需 再 导入 RSA 密 钥 对 到 设备 的 内 存 中 。 

手动 创建 本 地 证 书 所 用 的 RSA 密 钥 对 的 方法 是 在 系统 视图 下 通过 pki rsa 
local-key-pair create key-name [ modulus modulus-size ] [ exportable ] 命令 进行 。 命 令 中 
的 参数 和 选项 说 明 如 下 。 

e key-name: 指定 创建 的 RSA 密 钥 对 的 名 称 ， 字 符 串 形式 ， 区 分 大 小 写 ， 不 支持 空 
格 和 问号 ， 长 度 范围 为 1 一 64。 但 当 输 入 的 字符 串 两 端 使 用 双 引 号 时 ， 可 在 字符 串 中 输 
入 空格 和 问号 。 





| 建 的 RSA 密 钥 对 名 称 不 能 超过 50 个 字符 。 因 为 导入 RSA 窗 钥 对 时 ， 如 果 文 
件 中 包含 证 书 ，PKI 会 在 RSA 密 钥 对 的 名 称 后 面 加 上 ”localx.cer” 生 成 新 的 证 书 文 件 
名 保存 在 设备 存储 器 上 。 若 RSA 密 钥 对 的 名 称 超过 50 个 字符 ， 会 导致 导入 后 新 的 证 书 
的 名 称 超过 64 而 无 法 保存 在 存储 器 上 。 


。 modulus modulus-size : 可 选 参数 , 指定 密 钥 对 位 数 , 整数 形式 , 取 值 范 围 为 S12 一 
4096〔 不 同 AR 系列 机 型 的 取 值 范围 有 所 不 同 )， 必 须 是 512 的 数 倍 。 如 果 不 选择 此 可 选 
参数 时 ， 在 创建 密 钥 对 时 会 提示 你 输入 。 

。 exportable: 可 选项 ， 指 定 创建 的 RSA 密 钥 对 可 以 从 设备 上 导出 ， 供 其 他 设备 使 
用 。 仅 当选 择 exportable 选项 上 时， 创建 的 RSA 密 钥 对 才 可 以 被 导出 。 
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TT 如果 新 创建 的 RSA 密 钥 对 与 设备 上 已 经 存在 的 RSA 密 钥 对 重 名 ,系统 会 提示 用 
户 是 否 履 盖 。 但 在 本 地 证 书 申请 中 被 PKI 域 所 引用 的 RSA 窗 钥 对 不 能 被 覆盖 ， 只 有 取 
消 引 用 之 后 才能 履 盖 。 

当 需 要 备份 已 创建 的 RSA 密 钥 对 或 者 RSA 密 钥 需要 导出 给 其 他 设备 使 用 时 , 可 以 执 
行 pki export rsa-key-pair key-name [ and-certificate certificate-name | { pem file-name 
[ 3des | aes | des ] | pkcs12 file-name } password password 命令 ,将 RSA 密 钥 对 导出 到 设备 的 存 
储 介 质 中 ， 同 时 支持 导出 与 其 关联 的 证 书 及 证 书 链 。 然 后 用 户 可 以 通过 FTP/SFTP 获取 RSA 
密 钥 对 。 在 这 里 通过 参数 password password 可 以 设置 该 RSA 密 钥 对 导出 时 所 需 确 认 的 密码 。 

RSA 密 钥 对 泄露 、 损 坏 、 不 用 或 丢失 时 ,可 以 执行 pki rsa local-key-pair destroy key- 
name 命令 ， 销 毁 指 定 的 RSA 窗 钥 对 。 配 置 后 ， 系 统 会 销毁 设备 中 对 应 名 称 的 RSA 密 钥 对 。 

当 用 户 不 知道 证 书 所 对 应 的 RSA 密 钥 对 时 , 可 以 执行 pki match-rsa-key certificate- 
filename file-name 命令 ， 查 找 证 书 所 对 应 的 RSA 密 钥 对 。 


(2) 导入 RSA 密 钥 对 

当 需 要 使 用 其 他 PKI 实体 产生 的 RSA 密 钥 对 时 ， 可 以 通过 FTP/SFTP 传 到 设备 上 ， 
然后 村 入 RSA 密 钥 对 到 设备 的 内 存 中 ， 否 则 RSA 密 钥 对 不 生效 。 配 置 后 ， 导 入 的 RSA 
密 钥 对 可 以 被 本 地 设备 PKI 模块 引用 ， 用 于 签名 等 相关 操作 。 

可 在 系统 视图 下 通过 pki import rsa-key-pair key-name { pem | pkcs12 } file-name 
[ exportable ] [ password password ] 或 pki import rsa-key-pair key-name der file-name 
[ exportable ] 命令 将 RSA 密 钥 对 和 证 书 导 入 到 设备 的 内 存 中 。 命 令 中 的 参数 和 选项 说 
明 如 下 。 

e key-name: 指定 RSA 密 钥 对 导出 后 在 设备 上 存储 的 名 称 ， 字符 串 形式 ， 长 度 范 围 
为 1 一 64， 区 分 大 小 写 ， 不 文 持 空格 和 问号 。 

。 pem: 二 选 一 选项 ， 指 定 要 导入 的 RSA 密 钥 对 的 文件 格式 为 PEM。 

e。 pkcs12: 二 选 一 选项 ， 指 定 要 导入 的 RSA 密 钥 对 的 文件 格式 为 PKCS12。 

。 der: 指定 要 导入 的 RSA 密 钥 对 的 文件 格式 为 DER。 

e file-name: 指定 要 导出 的 RSA 密 钥 对 文件 名 。 

e exportable: 可 选项 ， 指 定 导 入 的 RSA 密 钥 对 是 可 导出 的 。 仅 当选 择 exportable 
选项 时 ， 创 建 的 RSA 密 钥 对 才 可 以 被 导出 。 

。 password password: 可 选 参数 ， 指 定 RSA 密 钥 对 文件 的 导入 密码 。 该 密码 与 前 
面 介绍 的 pki export rsa-key-pair 命令 设置 的 RSA 密 钥 对 导出 密码 相同 。 仅 当 要 导入 的 
RSA 密 钥 对 文件 配置 了 导出 密码 时 才 需 要 配置 。 
8.2.4 配置 为 PKI 实体 下 载 CA 证 书 

当 用 户 为 设备 申请 本 地 证 书 时 ，PKI 实体 会 将 证 书 注册 请 求 消息 发 送 给 CA。 但 为 
了 提高 传输 过 程 中 的 安全 性 ，PKI 实体 必须 使 用 CA 的 公 钥 对 证 书 注册 请 求 消息 进行 加 
密 保护 ， 所 以 PKI 实体 还 必须 先 获 取 到 CA 证 书 ， 并 从 CA 证 书 中 获取 CA 的 公 钥 ， 然 
后 用 这 个 CA 证 书 的 公 钥 为 要 发 送 的 证 书 注册 请 求 消息 进行 加 密 。 
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下 载 CA 证 书 有 4 种 方式 ， 请 根据 CA 提供 的 服务 方式 选择 。 

。 通过 SCEP 或 CMPv2 协议 从 CA 服务 器 下 载 CA 证 书 , 将 CA 证 书 下 载 到 设备 的 
存储 介质 中 。 但 这 种 方式 中 是 在 本 地 证 书 申请 或 更 新 本 地 证 书 时 同步 进行 的 ， 所 以 无 需 
事先 单独 下 载 CA 证 书 ， 具 体 将 在 后 面 介绍 的 本 地 证 书 申请 中 介绍 。 

。 通过 HTTP 协议 从 Web 服务 器 上 下 载 CA 证 书 , 手动 将 CA 证 书 下 载 到 设备 的 存 
储 介 质 中 。 

。 通过 LDAP 协议 从 存放 证 书 的 服务 器 上 下 载 CA 证 书 ， 手 动 将 CA 证 书 下 载 到 设 
备 的 存储 介质 中 。 

。 通过 市 外 方式 〈《Web、 磁 盘 、 电 子 邮件 等 ) 获得 CA 证 书后 ， 上 传 到 设备 的 存储 
介质 中 。 

下 面 仅 介绍 后 面 三 种 CA 证 书 的 下 载 方法 。 

(1) 通过 HTTP 方式 下 载 CA 证 书 

通过 HTTP 下 载 CA 证 书 的 方法 很 简单 ， 只 需 在 系统 视图 下 执行 pki http [ esc ] xz 
address save-name 命令 即 可 。 人 参数 url-address 必须 包含 完整 的 证 书 文 件 及 扩展 名 ， 例 如 
http://10.1.1.1:8080/cert.cer。 参 数 save-name 用 来 指定 CA 证 书 、 本 地 证 书 或 CRL 保存 到 
设备 的 flash 中 的 名 称 ， 字 符 串 形式 ， 不 区 分 大 小 号， 长 度 范围 为 1 一 64。 采 用 这 种 方式 
下 载 的 本 地 证 书 ， 没 有 加 入 到 指定 PKI 域 中 ， 需 要 通过 后 面 的 CA 证 书 的 安装 来 指定 。 

(2) 通过 LDAP 方式 下 载 CA 证 书 

通过 LDAP 方式 下 载 CA 证 书 的 方法 也 很 简单 ， 只 需 在 系统 视图 下 执行 pki ldap ip 
ip-address port port Version version [ attribute attr-value | [authentication /dap-dn lIdap- 
password ] save-name dn dn-value 命令 即 可 。 命 令 中 的 参数 说 明 如 下 。 

e ip-address: 指定 LDAP 服务 器 的 卫 地址 。 

e。 port: 指定 LDAP 服务 器 的 端口 号 ， 缺 省 值 为 389。 

e。 version: 指定 LDAP 协议 的 版 本 号 ， 取 值 为 2 或 3， 缺 省 值 为 3。 

。 attribute attr-value: 可 选 参 数 ， 指 定 设 备 癌 LDAP 服务 器 获取 证 书 时 使 用 的 属性 
值 ， 也 需要 先 从 CA 处 获得 。 属 性 值 为 字符 串 形式 ， 区 分 大 小 写 ， 不 支持 空格 和 问号 ， 
长 度 范 围 为 1 一 64。 

。 authentication 1d4ap-dn Idap-password: 可 选 参数 ， 指 定 LDAP 服务 器 认证 的 用 户 
名 和 密码 ， 输 入 要 与 LDAP 服务 器 上 的 配置 一 致 。 

e save-name: 指定 CA 证 书 保存 在 设备 上 的 名 称 。 

。 dn-value: 指定 设备 向 LDAP 服务 器 获取 证 书 时 使 用 的 标识 符 DN， 文 本 形式 ， 区 分 
大 小 写 ， 支 持 空 格 ， 长 度 范围 为 1 一 128。 也 要 与 LDAP 服务 器 上 配置 的 DN 标识 符 一 致 。 

(32 通过 市 外 方式 下 载 CA 证 刷 

用 户 通过 Web、 磁 盘 、 电 子 邮 件 等 方式 获得 CA 证 书后 ， 需 要 手工 上 传 到 设备 的 存 
储 介质 中 。 也 可 以 选择 通过 PC 下 载 CA 证 书后 ， 再 使 用 FTP/SFTP 或 Web 方式 上 传 到 
设备 的 存储 介质 中 。 


8.2.5 ”配置 为 PKI 实体 安装 CA 证 书 
下 载 的 CA 证 书 只 有 导入 到 设备 的 内 存 中 才 可 以 正常 生效 ， 并 且 设 备 会 将 导入 内 存 
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的 证 书 文 件 保存 到 缺 省 目录 下 的 ca_config.ini 文件 中 ， 在 重启 后 可 以 自动 加 载 文件 中 记 
录 的 证 书 文件 。 所 以 本 节 介 绍 的 CA 证 书 就 是 要 把 下 载 的 CA 证 书 文件 导入 到 内 存 缺 省 
目录 下 的 ca_config.ini 文件 中 。 安 装 CA 证 书 的 具体 配置 步骤 见 表 8-5。 





“TY 本 项 配置 任务 为 可 选 配置 ， 因 为 配置 通过 SCEP 协议 申请 本 地 证 书 时 ， 设 备 会 自 
动 安装 CA 证 书 ， 无 需 手动 安装 CA 证 书 。 只 有 通过 在 8.2.4 节 介绍 其 他 三 种 方式 下 载 的 
CA 证 书 才 需 要 通过 本 节 介绍 的 方法 手动 安装 CA 证 书 。 


表 8-5 





System-view 
例如 : <Huawei> system-view 


pki import-certificate { ca 
realm realm-name { der | 
pkcsl12 | pem } [ filename 
filename | [ replace ] [ no- 
check-validate | [ no-check- 
hash-alg | | realm realm-name 
pem terminal password 
password } 

例如 : [Huawei] pki import- 
certificate ca realm abc pem 
filename ca.cer 


pki set-certificate expire- 
prewarning day 

例如 : [Huaweil pki set- 
certificate expire-prewarning 30 





PKI 实体 安装 CA 证 书 的 配置 步骤 





进入 系统 视图 


将 CA 证 书 导 入 到 设备 的 内 存 中 。 命令 中 的 参数 和 选项 说 
明 如 下 。 

e realm realm-name: 二 选 一 参数 ， 指 定 要 导入 的 CA 证 
书 所 在 的 PKI 域名， 必须 是 已 创建 的 PKI 域名 称 。 

。 der: 多 选 一 选项 ， 指 定 导 入 证 书 的 格式 为 DER。 

e。 pkcs12: 多 选 一 选项 , 指定 导入 证 书 的 格式 为 PKCS12。 
。 pem: 多 选 一 选项 ， 指 定 导 入 证 书 的 格式 为 PEM。 

。 filename filename: 可 选 参数 ， 指 定 导 入 证 书 的 文件 名 
称 ， 以 证 书 文件 中 导入 的 方式 导入 对 端 实 体 的 证 书 ， 必 须 
是 已 经 存在 的 文件 名 称 。 

。 replace: 可 选项 ， 指 定 在 当前 PKI 域 下 有 相同 证 书 时 ， 
删除 原 有 证 书 及 对 应 的 RSA 密 钥 对 ， 导 入 新 的 证 书 。 但 
是 当 原 有 证 书 对 应 的 RSA 密 钥 对 被 非 当 前 域 或 CMP 会 话 
所 引用 时 ， 只 删除 原 有 证 书 ， 不 删除 密 钥 对 。 

。 no-check-validate: 可 选项 ， 指 定 导 入 证 书 时 不 检查 证 
书 的 有 效 性 。 仅 Y200R008C30 及 之 后 版 本 支持 该 参数 。 
。 no-check-hash-alg: 可 选项 ,指定 导入 证 书 时 不 检 碍 证 书 
签名 HASH 算法 。 仅 V200R008C30 及 之 后 版 本 支持 该 参数 。 
。 terminal: 二 选 一 选项 ， 指 定 通过 终端 方式 导入 证 书 ， 
即 通过 手工 输入 或 拷贝 粘贴 的 方式 导入 对 端 实体 的 证 书 
内 容 。 在 通过 文本 工具 打开 格式 为 PEM 的 证 书 文件 后 ， 
将 证 书 内 容 拷贝 后 粘贴 到 设备 上 。 

e password password: 指定 请 求证 书 时 的 挑战 密码 ， 相 当 
于 再 次 确认 ， 以 免 被 非法 导入 。 仅 当 证 书 中 携带 有 该 密码 
属性 才 有 效 ， 且 要 正确 配置 该 密码 。 

缺 省 情况 下 ， 设 备 保存 证 书 时 的 文件 格式 为 PEM 

(可 选 ) 配置 内 存 中 的 CA 证 书 的 过 期 预告 警 时 间 ， 整 数 
形式 ， 取 值 范围 为 7 一 180， 缺 省 值 为 7。 

【说 明 】 用 户 想 要 提前 预知 证 书 过 期 时 间 时 ， 可 以 配置 本 
命令 。 当 系统 检测 到 内 存 中 的 某 个 证 书 还 有 小 于 参数 day 
设置 的 天 数 时 就 会 过 期 上 时， 设备 会 发 出 告警 提示 用 户 。 
缺 省 情况 下 , 内存 中 的 CA 证 书 的 过 期 预告 警 时 间 为 7 天 ， 
可 用 undo pki set-certificate expire-prewarning 命令 恢复 
内 存 中 的 本 地 证 书 和 CA 证 书 的 过 期 预告 警 时 间 为 缺 省 值 
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8.2.6 ”申请 本 地 证 书 预 配置 的 管理 命令 


已经 完成 配置 PKI 实体 信息 、RSA 密 钥 对 或 者 CA 证 书后 ， 可 通过 以 下 display 命 
令 在 任意 视图 下 合 看 相关 配置 ， 验 证 配置 是 否 正确 。 

e display pki entity [ entityy-name ]: 查看 本 地 所 有 或 指定 PKI 实体 的 配置 信息 。 

e display pki rsa local-key-pair { pem | pkcs12 } filename [ password password ]: 但 
看 本 地 指定 RSA 密 钥 对 的 配置 信息 。 

e display pki rsa local-key-pair [ name key-name ] public [ temporary ]: 但 看 本 地 上 所 
有 或 指定 RSA 密 钥 对 中 的 公 铀 信息 。 

。 display pki certificate ca realm realm-name: 查看 设备 上 指定 PKI 中 已 加 载 的 CA 
证 书 的 内 容 。 

。 display pki credential-storage-path: 查看 证 书 的 缺 省 保存 路 径 。 


8.3 ”申请 和 更 新 本 地 证 书 


本 地 证 书 申请 的 预 配置 工作 准备 好 后 就 可 以 为 设备 正式 同 CA 申请 〈 也 称 “ 注 册 ””) 
本 地 证 书 了 。 本 节 将 介绍 如 何 通 过 SCEP 协议 、CMPv2 协议 在 线 申 请 和 更 新 本 地 证 书 ， 
以 及 离线 申请 本 地 证 书 。 

【经 验 提 示 】 强 烈 推荐 采用 SCEP 协议 申请 本 地 证 书 ， 因 为 它 的 配置 最 简单 ， 可 以 在 
本 地 证 书 申请 过 程 中 自动 进行 CA 证 书 的 下 载 和 人 安装， 成功 申请 本 地 证 书后 还 可 以 目 动 
下 载 、 安 装 和 更 新 本 地 证 书 ， 省 去 了 前 面 8.2.4 节 和 8.2.5 节 的 配置 任务 ， 以 及 后 面 整个 
8.4 节 的 配置 任务 。 采 用 CMPv2 协议 申请 的 本 地 证 书 也 会 自动 下 载 到 设备 上 ， 但 不 会 自 
动 导 入 到 内 存 中 , 即 不 需要 执行 8.4.1 节 的 配置 任务 , 但 仍 需 要 执行 8.4.2 节 的 配置 任务 。 


8.3.1 配置 通过 SCEP 协议 为 PKI 实体 申请 和 更 新 本 地 证 书 


采用 SCEP 协议 申请 或 更 新 本 地 证 书 将 同步 进行 CA 证 书 的 下 载 和 安装 。 它 有 两 种 
申请 或 更 新 本 地 证 书 的 方式 。 

(1) 自动 触发 申请 和 更 新 本 地 证 书 

采用 自动 触发 方式 时 ， 如 果 本 地 证 书 需要 的 配置 信息 齐全 ， 并 且 设 备 没有 本 地 证 书 
时 ， 将 自动 触发 设备 通过 SCEP 协议 申请 本 地 证 书 ;， 当 证 书 即将 过 期 、 已 经 过 期 、 已 到 
达 指 定 百分比 时 ， 自 动 触发 设备 通过 SCEP 协议 申请 并 更 新 证 书 。 






虽然 在 V200R006 以 前 版 本 中 也 支持 通过 SCEP 协议 实现 本 地 证 书 自动 注册 ， 但 
表 8-5 中 的 绝 大 多 数 命令 仅 适 用 V200R006 及 以 后 VRP 系统 版 本 ， 以 前 版 本 仅 支 持 表 中 


pki realm realm-name 和 auto-enroll[ percent ] | regenerate ] 这 两 条 命令 。 


(2) 手动 触发 申请 本 地 证 书 
如 果 本 地 证 书 需要 的 配置 信息 齐全 ， 并 且 设 备 没有 本 地 证 书 时 ， 还 可 手动 触发 设备 
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通过 SCEP 协议 申请 本 地 证 书 。 此 时 ， 当 证 书 即 将 过 期 、 已 经 过 期 、 已 到 达 指 定 百分比 
时 ， 不 会 自动 触发 设备 通过 SCEP 协议 申请 并 更 新 证 书 。 此 方式 仅 适 用 V200R006 及 以 
后 版 本 。 

【经 验 提 示 】 这 两 种 方式 申请 本 地 证 书 时 ， 设 备 都 会 先 向 CA 获取 CA 证 书 保 存 到 存 
储 介 质 中 并 将 CA 证 书 自动 导入 到 设备 的 内 存 中 ， 然 后 使 用 CA 证 书 的 公 钥 加 密 证 书 注 
册 请 求 消息 并 发 送 给 CA 来 申请 本 地 证 书 ， 获 取 本 地 证 书后 也 会 自动 保存 到 存储 介质 中 
并 导入 到 设备 的 内 存 中 。 无 需 单 独 执行 8.2.4 节 和 8.2.5 节 下 载 、 安 装 CA 证 书 步骤 。 

通过 SCEP 协议 为 PKI 实体 申请 和 更 新 本 地 证 书 的 具体 配置 步骤 见 表 8-6。 必 须 事 
先 已 在 8.2.1 市 中 配置 好 PKI 实体 、8.2.3 市 中 创建 好 RSA 密 钥 对 。 然 后 在 8.2.2 市 中 本 
置 好 PKI 域 , 并 在 PKI 域 中 配置 好 信任 的 CA、 挑战 密码 、CA 数字 指纹 ,并 绑 定好 PKI 
实体 名 。 

表 8-6 通过 SCEP dad eo 和 





进入 系统 视图 


例如 : <Huawei> system-view 
(可 选 ) 配置 设备 保存 证 书 时 的 文件 格式 。 命令 中 的 选项 说 
明 如 下 。 
pki file-format { der | pem } 。 der: 二 选 一 选项 ， 指 定 设备 保存 证 书 时 的 文件 格式 为 
2 例如 : [Huawei] pki file-format | DER。 
der 。 pem: 二 选 一 选项 ， 指 定 设备 保存 证 书 时 的 文件 格式 为 
PEM 。 


缺 省 情况 下 ， 设 备 保存 证 书 时 的 文件 格式 为 PEM 
人 进入 要 通过 SCEP 协议 申请 或 更 新 本 地 证 书 的 PKI 域 的 视图 


例如 : [Huawei] pki realm abc 

配置 使 用 SCEP 方式 申请 本 地 证 书 时 使 用 的 RSA 密 钥 对 ， 
这 是 在 8.2.3 下 事先 创建 好 的 。 
缺 省 情况 下 ， 系 统 未 配置 使 用 SCEP 方式 申请 本 地 证 书 时 
使 用 的 RSA 密 钥 对 ， 可 用 undo rsa local-key-pair 命令 删 
除 使 用 SCEP 方式 或 离线 方式 申请 本 地 证 书 时 使 用 的 RSA 
密 钥 对 
(可 选 ) 配置 通过 SCEP 协议 申请 的 本 地 证 书 的 公 钥 用 途 属 
性 。 命 令 中 的 选项 说 明 如 下 。 
。 ike: 可 多 选 选项 ， 指 定 本 地 证 书 公 钥 仅 用 于 通过 IKE 协 
议 协 商 建立 IPSec 隧道 。 
e ssl-client: 可 多 选 选项 ， 指 定 本 地 证 书 公 钥 仅 用 于 SSL 
key-usage { ike | ssl-client | 客户 端 建 立 SSL 会 话 。 
ssl-server } ~ e ssl-server : 可 多 选 选项 ， 指 定 本 地 证 书 公 钥 仅 用 于 在 
例如 : [Huawei-pki-realm-abc] | SSL 服务 器 建立 SSL 会 话 。 
CR 【 说明】 设备 在 进行 证 书 申 请 时 ， 为 了 提高 证 书 的 安全 
可 以 在 发 送 给 CA 服务 器 的 证 书 请 求 消息 中 携带 申请 we 
中 公 铀 的 用 途 。CA 服务 器 接收 到 证 书 请 求 报 文 后 , 验证 该 
请 求 的 有 效 性 ， 如 果 请 求 有 效 ， 则 生成 实体 的 数字 证 书 ， 
该 数字 证 书 中 会 包含 证 书 中 公 钥 的 用 途 。 如 通过 ee 
ssl-client 命令 配置 在 证 书 请 求 中 携带 证 书 用 途 提示 信息 为 


| system-view 





rsa local-key-pair key-name 
汪 例如 : [Huawei-pki-realm-abc] 
rsa local-key-pair test 
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( 续 表 ) 
ssl-client 后 ， 则 CA 生成 证 书 时 会 包含 证 书 中 公 铀 的 用 途 
key-usage { ike | ssl-client | 包括 数字 签名 和 密 钥 加 密 。 如 果 用 户 利 用 此 密 钥 进行 数据 
gS ssl-server } 加 密 ， 则 密 钥 失效 .。 
例如 : [Huawei-pki-realm-abc] | 缺 省 情况 下 ， 系 统 未 配置 本 地 证 书 公 钥 用 途 属 性 ， 可 用 
key-usage ssl-client undo key-usage { ike | ssl-client | ssl-server } * 命 令 删除 本 
地 证 书 公 钥 指定 的 用 途 属性 


(可 选 ) 配置 加 CA 申请 证 书 时 ， 使 用 特定 格式 的 证 书 请 求 
消息 。PKI 实体 向 CA 申请 本 地 证 书 时 , 如 果 CA 服务 器 有 
如 下 要 求 ， 需 要 配置 本 命令 ， 使 发 送 的 请 求 消息 格式 为 特 
定格 式 ， 实 现 设备 与 CA 服务 器 的 互通 : 

EN 。 请 求 消息 的 非 结 构 化 地 址 〈unstructured address) 和 非 结 


0 例如 : [Huawei-pki-realm-abc] 构 化 名 字 unstructured name》 不 带 “SET” 标 识 符 。 
enrollment-request specific 


。 签名 该 请 求 消息 的 私 钥 为 对 应 申请 证 书 的 私 钥 。 
缺 省 情况 下 ， 回 CA 申请 证 书 时 ， 使 用 标准 格式 的 证 书 请 
求 消息 , 可 用 undo enrollment-request specific 命令 恢复 缺 
省 配置 
(可 选 ) 配 置 本 地 证 书 注 册 请 求 消息 携带 的 扩展 请 求 属性 使 
用 Verisign 公司 定义 的 对 象 ID。 
缺 省 情况 下 ， 本 地 证 书 注册 请 求 消息 携带 的 扩展 请 求 属性 
使 用 PKCS#9 标准 定义 的 对 象 ID， 可 用 undo extension- 
request enterprise 命令 恢复 证 书 注册 请 求 消息 携带 的 扩展 
请 求 属性 为 缺 省 情况 
(可 选 ) 配 置 使 用 设备 自己 私 钥 对 证 书 申请 请 求 消息 进行 数 
字 签 名 时 所 使 用 的 摘要 算法 , 包括 MD5、SHA1、SHA-256 
enrollment-request signature | ( 即 SHA2-256)、SHA-384 ( 即 SHA2-384) 和 SHA-512( 即 
message-digest-method { mds | SHA2-$12)， 这 些 算法 在 本 书 第 2 章 中 有 具体 介绍 ， 参 见 
| | 即 可 。 但 PKI 实体 使 用 的 摘要 算法 必须 与 CA 服务 器 上 使 
例如 : [Huawei-pki-realm-abc] 用 的 捅 要 鼻 法 要 一 致 。 
缺 省 情况 下 ， 签 名 证 书 注 册 请 求 消 息 使 用 的 摘要 算法 为 


enrollment-request signature 
message-digest-method mds5 sha-2S6， 可 用 undo enrollment-request signature message- 


digest-method 命令 恢复 签名 证 书 注册 请 求 消息 使 用 的 摘 
要 算法 为 缺 省 配置 
(二 选 一 ) 配置 自动 触发 申请 和 更 新 本 地 证 书 ， 开 局 证 书 自 
动 注册 和 更 新 功能 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
e percent: 可 选 参数 ， 指 定 在 证 书 有 效 期 的 百分比 处 自动 
重新 申请 新 的 证 书 ， 整 数 形式 ， 取 值 范围 为 10 一 100。 缺 
省 值 为 100， 即 老 的 证 书 即 将 过 期 时 自动 重新 申请 新 证 书 。 
auto-enroll [ percent | e regenerate [ key-bit ]: 可 选 参数 ， 表 示 证 书 更 新 时 会 同 
ye ve 时 更 新 RSA 密 钥 对 ， 并 指定 证 书 更 新 时 新 生成 的 RSA 密 
ee 钥 对 的 位 数 ， 整 数 形式 ， 取 值 范 围 为 S12 一 4096， 缺 省 值 
例如 : [Huawei-pki-realm-abc] 是 2048。 
auto-enroll $50 regenerate a Ap 2 
。 updated-effective: 可 选项 , 表示 更 新 后 的 证 书 立 即 生效 。 
缺 省 情况 下 ,更 新 后 的 证 书 要 等 原来 的 证 书 过 期 时 才 会 生效 。 
缺 省 情况 下 ， 证 书 自 动 注册 和 更 新 功能 处 于 关闭 状态 ， 可 
用 undo auto-enroll [ updated-effective ] 1 命令 关闭 证 书 自 
动 注 册 和 更 新 功能 


extension-request enterprise 
‘ 例如 : [Huawei-pki-realm-abc] 
extension-request enterprise 
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例如 : [Huawei-pki-realm-abc] 
quit 





返回 系统 视图 


配置 手工 触发 设备 申请 证 书 , 命令 中 的 参数 说 
明 如 下 。 














(二 选 一 ) | 。 realm-name: 指定 申请 证 书 的 PKI 域名 。 
pki enroll-certificate realm 配置 手动 | 。password password: 可 选 参 数 ， 表 示 挑 战 





触发 申请 
本 地 证 书 


密码 ， 用 于 在 线 方式 申请 证 书 。 当 CA 服务 器 
采用 挑战 密码 方式 处 理 证 书 申请 时 , 实体 在 申 
请 证 书 时 需要 指定 挑战 密码 , 并 且 密 码 必 须 与 
CA 服务 器 上 设置 的 密码 一 致 。 

如 果 在 8.2.2 节 表 8-4 中 的 第 9 步 配置 了 
password 命令 , 这 里 的 password 参数 可 以 不 
用 。 如 果 都 配置 ， 以 这 里 的 配置 为 准 


8.3.2 ”配置 通过 CMPv2 协议 为 PKI 实体 申请 和 更 新 本 地 证 书 


当 设 备 可 以 访问 CA， 并 且 CA 支持 CMPv2 协议 时 ， 可 选择 此 方式 申请 和 更 新 本 地 
证 书 。 仅 适用 于 V200R008C30 及 之 后 版 本 VRP 系统 。 

1. 通过 CMPv2 协议 申请 证 书 的 两 种 情形 

通过 CMPv2 协议 申请 本 地 证 书 有 以 下 两 种 情形 。 

(1) 首次 申请 本 地 证 书 IR (Initialization Request) 

首次 证 书 申请 适用 于 设备 第 一 次 癌 CA 申请 证 书 的 情况 。 在 这 种 情况 下 ， 华 为 AR 
路 由 器 提供 以 下 两 种 向 CMPv2 服务 器 进行 身份 认证 的 方式 。 

。 消息 认证 码 方式 : 设备 和 CMPv2 服务 器 共享 一 对 消息 认证 码 的 参考 值 和 秘密 但 。 
在 进行 首次 证 书 申请 的 时 候 ， 设 备 会 将 这 对 参考 值 和 秘密 值 加 入 到 请 求 报 文 当中 发 送 到 
CMPv2 服务 器 ，CMPv2 服务 器 通过 验证 参考 值 和 秘密 值 来 鉴定 设备 的 喘 份 。 要 事先 从 
CMP 服务 器 获取 消息 认证 码 的 参考 值 和 秘密 值 。 

。 签名 方式 : 通过 CMPv2 协议 的 IR 请求 ， 疝 CA 发 起 证 书 请 求 时 ， 设 备 使 用 其 他 
CA 颁发 的 证 书 相 对 应 的 私 钥 来 签名 保护 。 此 时 需要 CA 服务 器 上 已 有 对 应 证 书 的 公 铀 。 
一 般 不 采用 。 

(2) 为 其 他 设备 申请 本 地 证 书 CR (Certification Request) 

这 种 申请 方式 适用 于 当 设 备 已 经 有 了 CA 所 颁发 的 本 地 证 书 ， 而 需要 申请 额外 证 书 
的 情况 。 在 这 种 情况 下 ， 设 备 会 使 用 已 有 的 证 书 作 为 身份 认证 的 手段 。 

2. 通过 CMPv2 协议 更 新 本 地 证 书 的 两 种 方式 

通过 CMPv2 协议 更 新 本 地 证 书 也 有 两 种 方式 。 

(1) 手工 更 新 证 书 ， 即 密 钥 更 新 请 求 KUR (Key Update Request) 

密 钥 更 新 请 求 又 称 为 证 书 更 新 请 求 , 是 对 设备 已 有 的 证 书 〈 尚 未 过 期 且 没 有 被 吊销 ) 
进行 更 新 操作 。 在 更 新 过 程 中 ， 使 用 现 有 的 证 书 作 为 身份 认证 的 手段 ， 即 使 用 现 有 证 书 
的 私 钥 至 更 新 请 求 消 奶 进行 数字 签名 ， 在 CA 上 再 使 用 对 应 证 书 的 公 钥 进行 解密 。 解 密 
成 功 ， 则 CA 服务 器 接收 该 更 新 请 求 。 


realm-name [ password 
password | 

例如 : [Huaweil] pki enroll- 
certificate realm lycb 
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(2) 目 动 更 新 证 书 
为 了 避免 业务 的 中 断 ， 在 有 效 期 截止 前 必须 申请 新 的 证 书 ， 而 使 用 手工 更 新 证 书 的 
方式 容易 出 现 态 记 更 新 证 书 的 情况 。 华 为 AR 路 由 器 支持 证 书 的 自动 更 新 功能 ， 当 系统 
检测 到 时 间 超 过 了 设置 的 证 书 自 动 更 新 时 间 之 后 ， 会 自动 向 CMPv2 服务 器 发 起 证 书 的 
更 新 请 求 。 申 请 的 新 证 书 会 同时 替换 存储 介质 中 的 证 书 文 件 和 内 存 中 对 应 的 证 书 ， 业 务 
不 会 中 断 。 

3. 通过 CMPv2 协议 申请 和 更 新 本 地 证 书 的 配置 步骤 

通过 CMPv2 协议 为 PKI 实体 申请 和 更 新 本 地 证 书 的 具体 配置 步骤 见 表 8-7。 


表 8-7 0 CMPv2 ds, PKI i bs i 的 具体 配置 步骤 
-一 和 


wii 


进入 系统 视图 


例如 : <Huawei> system-view 


pki file-format { der | pem } 


2 | 例如 : [Huawei] pki file-format (可 选 ) 配置 设备 保存 证 书 时 的 文件 格式 。 其 他 说 明 参 见 表 


8-6 中 的 第 2 步 


der 
创建 CMP 会 话 并 进入 CMP 会 话 视图 , 或 者 直接 进入 CMP 
会 话 视图 。 人 参数 session-name 用 来 指定 CMP 会 话 名 称 ， 字 
pki cmp session session-name | 符 串 形式 ， 不 区 分 大 小 写 ， 长 度 范 围 为 1 一 63。 与 PKI 域 
3 例如 : [Huawei] pki cmp 类 似 ，CMP 会 话 也 是 一 个 本 地 概念 ， 一 个 设备 上 配置 的 


CMP 会 话 对 CA 和 其 他 设备 是 不 可 见 的 。 
缺 省 情况 下 ， 系 统 未 创建 CMP 会 话 ， 可 用 undo pki cmp 
session session-name 命令 删除 指定 的 CMP 会 话 


session test 


cmp-request entity entity- 
name 

例如 : [Huawei-pki-cmp- 
session-test] cmp-request entity 
entityl 


cmp-request ca-name ca-name 
例如 : [Huawei-pki-cmp- 
session-test] cmp-request ca- 
name "C=cn, ST=beljing, L= 
shangdi, O=BB, OU=BB, CN= 
BB" 


cmp-request server Url [ esc | 
url-addr 

例如 : [Huawei-pki-cmp- 
session-test] cmp-request 
server Url http://172.16.73.16%: 
8080 





设备 使 用 CMPv2 方式 申请 证 书 时 使 用 的 PKI 实体 名 
es 必须 是 在 8.2.1 节 中 已 创建 的 。 
缺 省 情况 下 ， 系 统 未 配置 CMPv2 方式 申请 证 书 时 使 用 的 
PKI 实体 名 称 , 可 用 undo cmp-request entity 命令 删除 设备 
使 用 CMPYv2 方式 申请 证 书 时 使 用 的 实体 名 称 


为 CMP 会 话 配置 CA 的 名 称 。 参 数 ca-name 用 来 指定 CA 
证 书 中 的 主题 字段 〈 如 国家 、 地 理 区域 、 省 或 州 名 称 等 )， 
字符 串 形 式 ， 必 须 以 双 引 号 开始 和 结束 ， 长 度 范 围 为 1 一 
128 〈 包 含 双 引号 )， 同 时 字符 串 中 的 各 个 项 以 “,” 分 开 ， 
而 且 配置 的 CA 名 称 中 各 个 字段 的 顺序 必须 要 和 实际 CA 证 
书 中 的 顺序 保持 一 致 ， 否 则 服务 器 端 会 认为 是 错误 的 。 
缺 省 情况 下 ， 系统 未 配 办 CMP 会 话 下 的 CA 名 称 , 可 用 undo 
cmp-request ca-name 命令 删除 CMP 会 话 中 配置 的 CA 名 称 


配置 CMPv2 服务 器 的 URL。 参 数 url-addr 可 以 设置 为 
IP 地 址 形式 或 域名 形式 ， 如 果 设 置 为 域名 形式 ， 必 须 在 
PKI 实体 上 正确 配置 DNS,， 使 PKI 实体 可 以 通过 DNS 
服务 器 解析 域名 。 可 选项 ese 的 作用 是 支持 以 ASCII 码 
形式 输入 包含 “?” 的 URL 地 址 ， 参 见 表 8-4 中 的 第 6 
步 说 明 。 

缺 省 情况 下 , 系统 未 配置 CMPv2 服务 器 的 URL, 可 用 undo 
cmp-request server url 命令 取消 配置 CMPv2 服务 器 的 URL 
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cmp-request rsa local-key-pair 
key-name [ regenerate 

[ Key-bit | | 

例如 : [Huawei-pki-cmp- 
session-test] cmp-request rsa 
local-key-pair test regenerate 
1024 


cmp-request realm realm-name 
例如 : [Huawei-pki-cmp- 
sesslon-test] cmp-request realm 
abc 


cmp-request verification-cert 
cert-file-name 


例如 : [Huawei-pki-cmp- 
session-test] cmp-request 
verification-cert aa.der 





配置 CMPv2 方式 申请 证 书 时 


( 续 表 ) 





BB 
使 用 的 RSA 密 钥 对 。 命 令 中 





的 参数 和 选项 说 明 如 下 。 

。 key-name: 指定 RSA 密 钥 对 的 名 称 ， 必 须 是 已 在 8.3.2 
节 中 创建 的 RSA 密 钥 对 。 

。 regenerate: 可 选项 ， 指 定 证 书 更 新 时 会 同时 更 新 RSA 
密 钥 对 。 如 果 需 要 同时 更 新 RSA 密 钥 时 选择 此 可 选项 ， 否 
则 证 书 自 动 更 新 时 ， 系 统 会 继续 使 用 原来 的 RSA 密 钥 对 。 
e key-bit: 可 选 参数 ， 指 定 证 书 更 新 时 新 生成 的 RSA 密 钥 
对 的 位 数 ( 当 选择 了 regenerate 可 选项 时 才 需 要 配置 )， 整 
数 形 式 ， 取 值 范 围 为 S12 一 2048， 默 认 值 是 2048。 
缺 省 情况 下 ， 系 统 示 配置 CMPv2 方式 申请 证 书 时 使 用 的 
RSA 密 钥 对 ， 可 用 undo cmp-request rsa local-key-pair 命 
令 删 除 CMPv2 方式 申请 证 书 时 使 用 的 RSA 密 钥 对 

〈 可 选 ) 指 定 CMP 服务 器 证 书 所 属 的 PKI 域 ,必须 已 在 8.2.2 
节 配 置 好 。 

缺 省 情况 下 ，CMP 服务 器 证 书 未 指定 PKI 域 ， 可 用 undo 
cmp-request realm 命令 取消 指定 CMP 服务 器 证 书 所 属 的 
PKI 域 

(可 选 ) 配置 验证 CA 啊 应 签名 的 证 书 文 件 是 CA 证 书 ， 即 
证 书 颁发 机 构 自 喘 的 证 书 。 

【说 明 〗】 如 果 配 置 了 此 命令 ， 并 且 CA 服务 器 的 响应 报 文 是 
签名 的 方式 时 ， 则 设备 使 用 该 命令 行 配 置 的 证 书 来 验证 服 
务 器 的 响应 签名 ; 如 果 未 配置 此 命令 ， 并 且 CA 服务 器 的 
响应 报 文 是 签名 的 方式 时 ， 则 依据 设备 以 及 服务 器 响应 中 
的 证 书 构建 证 书 链 ， 验 证 服务 器 的 响应 签名 ; 如 果 CA 服 
务 器 使 用 消息 认证 码 方式 做 保护 时 ， 则 设备 使 用 配置 的 消 
息 认证 码 来 验证 服务 器 的 响应 报 文 ， 不 受 该 命令 配置 影响 
缺 省 情况 下 ， 系 统 未 配置 验证 CA 响应 签名 的 证 书 文件 ， 
可 用 undo cmp-request verification-cert 命令 删除 验证 CA 
啊 应 签名 的 证 书 文 件 


如 果 是 首次 申请 本 地 证 书 ， 请 继续 进行 后 面 的 表 8-8 的 配置 步骤 ;， 如 果 是 为 其 他 设备 申请 本 地 证 书 ， 
请 继续 进行 后 面 的 表 8-9 的 配置 步骤 ;如 果 是 手工 更 新 本 地 证 书 ， 请 继续 进行 后 面 的 表 8-10 的 配置 
步骤 ;如 果 是 目 动 更 新 证 书 ， 请 继续 进行 后 面 的 表 8-11 的 配置 步骤 


表 8 





-8 首次 申请 本 地 证 书 的 后 续 配 置 步骤 〈 接 表 8-7 第 9 步 ) 








cmp-request origin- 
authentication-method 

{ message-authentication- 
code | signature } 


例如 : [Huawei-pki-cmp- 
session-test] cmp-request origin- 
authentication-method 
signature 





(可 选 ) 配置 使 用 CMPv2 协议 进行 首次 证 书 申请 (IR) 的 
认证 方式 。 命 令 中 的 选项 说 明 如 下 。 

。 message-authentication-code: 二 选 一 选项 ， 指 定 设备 使 用 
消息 认证 码 方式 进行 首次 证 书 申请 ， 此 时 无 需 执行 第 12 步 。 
。 signature 一 选 一 选项 ， 指 定 设备 使 用 签名 方式 进行 首次 证 
书 申请 时 继续 执行 第 12 步 及 后 面 各 步 ， 不 需要 执行 第 11 步 。 
缺 省 情况 下 ， 使 用 CMPv2 协议 进行 首次 证 书 申请 (IR) 的 
认证 方式 为 消息 认证 码 方式 ， 可 用 undo cmp-request 
origin-authentication-method 命令 用 来 恢复 使 用 CMPv2 协 
议 进行 首次 证 书 申请 (IR〉 的 认证 方式 为 缺 省 配置 
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cmp-request 
message-authentication-code 
reference-value secret-value 
例如 : [Huawei-pki-cmp- 
session-test] cmp-request 
message-authentication-code 
1234 123456 


cmp-request authentication- 
cert cert-name 

例如 : [Huawei-pki-cmp- 
session-test] cmp-request 
authentication-cert bb.cer 


quit 
例如 : [Huawei-pki-cmp- 
session-test] quit 


pki cmp initial-request session 
Session-name 
例如 : [Huawei] pki cmp initial- 
request session test 





为 其 





cmp-request authentication- 
cert cert-name 

例如 : [Huawei-pki-cmp- 
session-test|] cmp-request 
authentication-cert bb.cer 


quit 
例如 : [Huawei-pki-cmp- 
session-test] quit 
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RN 


(二 选 一 ) 配置 消息 认证 码 的 参考 值 和 秘密 值 ， 需 要 用 户 事 
先 以 市 外 方式 从 CMPv2 服务 器 上 获取 ,命令 中 的 参数 说 明 
如 下 。 

e reference-value: 指定 消息 认证 码 的 参考 值 , 字符 串 形 式 ， 
区 分 大 小 写 ， 不 文 持 空格 和 问号 ， 长 度 范 围 为 1 一 128。 当 
输入 的 字符 串 两 端 使 用 双 引 号 时 ， 可 在 字符 串 中 输入 空格 
和 问号 。 

e secret-value: 指定 消息 认证 人 码 的 秘密 值 ， 字 符 串 形式 ， 
区 分 大 小 写 ， 不 文 持 空格 和 问号 ， 长 度 范 围 为 1 一 128。 当 
输入 的 字符 串 两 端 使 用 双 引 号 时 ， 可 在 字符 串 中 输入 空格 
和 问号 。 

缺 省 情况 下 ， 系 统 未 配置 消息 认证 码 的 参考 值 和 秘密 值 ， 
可 用 undo cmp-request message-authentication-code 命令 


用 来 删除 消息 认证 码 的 参考 值 和 秘密 值 


(二 选 一 ) 配置 CMPv2 请 求 中 用 于 证 明 设备 自己 身份 的 证 
书 。 在 首次 申请 时 此 证 书 是 额外 证 书 ， 并 且 必 须 由 受 CA 
信任 的 证 书 申请 机 构 为 设备 颁发 。 

缺 省 情况 下 , 系统 未 配置 CMPv2 请 求 中 用 于 证 明 身 份 的 证 
书 ， 可 用 undo cmp-request authentication-cert 命令 删除 
CMPv2 请 求 中 用 于 证 明 身 份 的 证 书 


返回 系统 视图 


根据 CMP 会 话 的 配置 信息 向 CMPv2 服务 器 进行 首次 证 书 
申请 (IR)。 参 数 session-name 指定 所 使 用 的 CMP 会 话 的 
名 称 ， 必 须 是 在 表 8-7 中 第 3 步 创 建 的 CMP 会 话 名 称 。 
配置 后 , 系统 首先 会 检查 CMP 会 话 中 的 配置 是 否 可 以 进行 
证 书 申请 。 如 果 条 件 不 满足 ， 会 给 出 错误 的 提示 信息 。 如 
果 条 件 满足 ， 会 依据 配置 内 容 发 起 首次 证 书 请 求 。 申 请 下 
来 的 证 书 将 以 文件 的 形式 保存 到 存储 介质 中 ， 但 不 会 执行 
导入 内 存 的 操作 。 同 时 ， 者 服务 器 端 在 啊 应 中 给 出 CA 证 
书 ， 则 CA 证 书 也 会 以 文件 形式 保存 起 来 


他 设备 申请 本 地 证 书 的 后 续 配置 步骤 〈 接 表 8-7 第 9 步 ) 


配置 CMPv2 请 求 中 用 于 证 明 设 备 目 己 身 份 的 证 书 。 在 为 其 
他 设备 申请 证 书 时 ， 此 证 书 是 CA 已 经 颁发 给 本 地 设备 的 
本 地 证 书 。 

缺 省 情况 下 , 系统 未 配置 CMPv2 请 求 中 用 于 证 明 身 份 的 证 
书 ， 可 用 undo cmp-request authentication-cert 命令 删除 
CMPv?2 请 求 中 用 于 证 明 身 份 的 证 书 








返回 系统 视图 
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(组 ) 
根据 CMP 会话 的 配置 信 息 向 ( CMPV2 2 服务 器 进行 证 书 申请 

(CR)。 参 数 session-name 指定 所 使 用 的 CMP 会 话 的 名 称 ， 

必须 是 在 表 8-7 中 第 3 步 创建 的 CMP 会 话 名 称 。 

配置 后 , 系统 首先 会 检查 CMP 会 话 中 的 配置 是 否 可 以 进行 


pki cmp certificate-request 
session session-name 





“| 例如 [Huawei] pki emp ”| 证 书 更 新 申请 。 如 果 条 件 不 满足 ， 会 给 出 错误 的 提示 信息 。 
certificate-request session test | 如 果 条 件 满足 ， 会 依据 配置 内 容 发 起 证 书 更 新 请 求 。 申 请 
下 来 的 证 书 将 以 文件 的 形式 保存 到 存储 介质 中 ， 但 不 会 执 
行 导入 内 存 的 操作 
表 8-10 了 
和 有 
quit 
10 | 例如 : [Huawei-pki-cmp- 返回 系统 视图 
session-test] quit 
pki cmp session session-name 直接 进入 CMP 会 话 视图 。 该 CMP 会 话 必须 已 在 表 8-7 第 
11 例如 : [ Huawei ] pki cmp 3 步 中 已 创建 
session test 
配置 CMPv2 请 求 中 用 于 证 明 设备 目 己 吴 份 的 证 书 。 在 手工 
cmp-request authentication- 更 新 本 地 证 书 时 ， 此 证 书 是 CA 已 经 颁发 给 设备 的 本 地 证 
i 书 ， 同 时 也 是 将 要 被 更 新 的 本 地 证 书 。 
oontou peop。 | 缺 省 情况 下 , 系统 未 配置 CMPv2 请 求 中 用 于 证 明 身份 的 证 
et gr ht. 书 ， 可 用 undo cmp-request authentication-cert 命令 删除 
CMPv2 请 求 中 用 于 证 明 身 份 的 证 书 
quit 
13 例如 : [Huawei-pki-cmp- 返回 系统 视图 
session-test] quit 
根据 CMP 会 话 的 配置 信息 癌 CMPv2 服务 器 进行 密 钥 更 新 
请 求 (KUR)。 参数 用 来 指定 本 次 本 地 证 书 更 新 过 程 中 所 使 
用 的 CMP 会 话 ， 必 须 是 已 在 表 8-7 中 第 3 步 已 创建 的 。 
pki cmp keyupdate-request 向 CMPv2 服务 器 进行 密 钥 更 新 请 求 时 , 同时 也 会 重新 申请 
14 session session-name 本 地 证 书 。 配置 后 ,系统 首先 会 检查 CMP 会 话 中 的 配置 是 
例如 : [Huawei] pki cmp 伸 可 以 进行 证 书 更 新 申请 。 如 果 条 件 不 满足 ， 会 给 出 错误 
keyupdate-request session test | 的 提示 信息 。 如 果 条 件 满足 ， 会 依据 配置 内 容 发 起 证 书 更 
新 请 求 。 但 申请 下 来 的 新 证 书 将 以 文件 的 形式 保存 到 存储 
介质 中 ,不 会 执行 导入 内 存 的 操作 ,需要 执行 本 章 后 面 8.4.2 
节 介绍 的 证 书 安装 步 又 





表 8-11 自 动 更 新 本 地 证 书 的 后 续 配 置 步 又 ( 接 表 8-7 第 9 步 ) 






10 


quit 


例如 : [Huawei-pki-cmp- 
session-test] quit 









返回 系统 视图 


pki cmp Session session-name 
例如 : [ Huawei ] pki cmp 
session test 


直接 进入 CMP 会 话 视图 。 该 CMP 会 话 必须 已 在 表 8-7 第 
3 步 中 已 创建 
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( 续 表 ) 
a 配置 CMPv2 请 求 中 用 于 证 明 设 备 自己 身份 的 证 书 ,在 自动 
SmP -reques au en ea on | 更 新 本 地 证 书 时 ， 此 证 书 也 是 CA 已 经 颁发 给 设备 的 本 地 
该 | 病员， 间 证 书 ， 同 时 也 是 将 要 被 更 新 的 本 地 证 书 。 

0 rp ee 缺 省 情况 下 , 系统 未 配置 CMPv2 请 求 中 用 于 证 明 身 份 的 证 

” p-request . 
ED i ee 书 ， 可 用 undo cmp-request authentication-cert 命令 删除 

CMPv2 请 求 中 用 于 证 明 身 份 的 证 书 

certificate auto-update enable | 开局 使 用 CMPv2 方式 目 动 更 新 证 书 功 能 。 

13 ”| 例如 : [Huawei-pki-cmp- 缺 省 情况 下 , 使 用 CMPv2 方式 自动 更 新 证 书 功能 处 于 关闭 


session-test] certificate auto- 
update enable 


状态 , 可 用 undo certificate auto-update enable 命令 关闭 使 
用 CMPYv2 方式 自动 更 新 证 书 功能 


配置 证 书目 动 更 新 的 时 间 ， 以 当前 使 用 证 书 有 效 期 的 百 分 
比 形 式 体 现 ， 整 数 形 式 ， 取 值 范 围 为 10 一 100， 缺 省 值 
是 50。 

配置 后 ， 当 系统 检测 到 时 间 达 到 valid-percent 时 ， 会 目 动 
发 起 证 书 更 新 请 求 ， 并 依据 cmp-request rsa local-key-pair 
命令 的 配置 决定 是 否 创建 新 的 RSA 密 钥 对 。 申 请 到 新 的 证 
书后 ,系统 会 使 用 新 的 证 书 和 RSA 密 钥 对 替换 原 有 的 证 书 
和 RSA 密 钥 对 。 

缺 省 情况 下 ， 证 书 更 新 时 间 的 默认 百分比 是 50%， 可 用 
undo certificate update expire-time 命令 恢复 证 书 自动 更 新 
的 时 间 为 缺 省 值 


certificate update expire-time 
valid-percent 

14 | 例如 : [Huawei-pki-cmp- 
session-test] certificate update 
expire-time 80 









在 以 上 证 书 申 请 或 更 新 的 过 程 中 ， 都 可 以 通过 执行 undo pki cmp poll-request 
session session-name 命令 取消 正在 进行 的 CMP 轮 询 请 求 。 当 然 , 这 通常 是 当 用 户 不 想 继 
续 等 待 时 才 这 样 操作 。 正 常情 况 下 ， 客 户 端 发 起 证 书 相 关 的 请 求 时 ， 如 果 服 务 器 不 能 够 
马上 给 出 结果 ， 服 务 器 会 让 客户 端 每 隔 一 段 时间 发 起 一 次 轮 询 请 求 ， 直 到 给 出 最 终 的 结 
果 为 止 。 


8.3.3 ”配置 为 PKI 实体 离线 申请 本 地 证 书 


如 果 你 所 使 用 的 CA 服务 器 不 支持 SCEP 协议 ， 可 以 配置 离线 申请 本 地 证 书 。 用 户 
在 设备 上 生成 证 书 请 求 文件 ， 然 后 通过 Web、 磁 盘 、 电 子 邮 件 等 带 外 方式 将 证 书 申请 文 
件 发 送 给 CA， 疝 CA 申请 本 地 证 书 。 完 成 申请 后 ， 还 需 从 存放 本 地 证 书 的 服务 右上 下 
载 证 书 (具体 下 载 方法 将 在 8.4.1 节 介 绍 )， 保 存 到 设备 的 存储 介质 中 。 

离线 申请 本 地 证 书 的 配置 步骤 见 表 8-12, 基本 上 与 8.3.1 节 介 绍 的 通过 SCEP 协议 申 
请 本 地 证 书 的 配置 方法 差不多 。 必 须 事先 配置 好 PKI 域 ( 见 8.2.2 节 ) 。 






虽然 在 V200R006 之 前 版 本 中 也 支持 离线 申请 本 地 证 书 ,但 只 使 用 了 表 8-12 中 第 
9 步 的 命令 ， 其 他 参数 配置 均 不 支持 。 
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离线 申请 本 地 证 书 的 配置 步 又 





system-view 


例如 : <Huawei> system-view 进入 系统 视图 
pki file-format { der | pem } Wye we 沁 明 参见 i 
2 例如 : [Huawei] pki file-format jn Wp 其 他 说 明 参 见 表 8-6 中 

der 

pki realm realm-name ee i 
例如 : [Huaweil] pki realm abc 进入 要 离线 申请 本 地 证 书 的 PKI 域 的 视图 

配置 使 用 SCEP 方式 申请 本 地 证 书 时 使 用 的 RSA 密 钥 对 ， 

这 是 在 8.2.3 节 配 置 好 的 。 
缺 省 情况 下 ， 系 统 未 配置 使 用 SCEP 方式 申请 本 地 证 书 时 
使 用 的 RSA 密 钥 对 ， 可 用 undo rsa local-key-pair 命令 删 
除 使 用 SCEP 方式 或 离线 方式 申请 本 地 证 书 时 使 用 的 RSA 
密 钥 对 


rsa local-key-pair key-name 
4 例如 : [Huawei-pki-realm- 
abcjrsa local-key-pair test 


key-usage { ike | ssl-client | 
ssl-server } (可 选 ) 配置 通过 SCEP 协议 申请 的 本 地 证 书 的 公 钥 用 途 属 
例如 : [Huawei-pki-realm-abc] | 性 。 其 他 说 明 参 见 表 8-6 中 的 第 5 步 


key-usage ssl-client 





enrollment-request Specific 


2 (可 选 ) 配置 向 CA 申请 证 书 时 ,使 用 特定 格式 的 证 书 请 求 
6 例如 : [Huawei-pki-realm-abc] 消 息 。 其 他 说 明 参 见 表 8-6 中 的 第 6 步 


enrollment-request specific 
(可 选 ) 配 置 本 地 证 书 注册 请 求 消息 携带 的 扩展 请 求 属性 使 






extension-request enterprise 


人 例如 : [Huawei-pki-realm-abc] | 用 Verisign 公司 定义 的 对 象 ID 。 其 他 说 明 参 见 表 8-6 中 的 
extension-request enterprise 第 7 步 
quit 
8 例如 : [Huawei-pki-realm-abc] | 返回 系统 视图 
quit 
配置 以 PKCS#10 格式 保存 证 书 申请 信息 到 文件 中 。 命令 中 
的 参数 说 明 如 下 。 
e realm realm-name: 指定 申请 本 地 证 书 的 PKI 域 ， 必 须 
pki enroll-certificate realm 已 在 8.2.2 节 创 建 好 。 
, Phe ee oe ， alename irone， 可 这 参数 ， 指 定 证 书 申 请 信息 保存 的 


例如 : [Huaweil] pki enroll- 
certificate realm lycb pkcs10 | password password: 可 选 参数 ， 表 示 挑 战 密码 。 当 CA 
c:\\cerfile\localcer.pem 服务 器 采用 挑战 密码 (Challenge Password) 方式 处 理 证 书 
申请 时 ， 实 体 在 申请 证 书 时 需要 指定 挑战 密码 ， 并 且 密 码 
必须 与 CA 服务 器 上 设置 的 密码 一 致 。 如 果 CA 服务 器 不 
要 求 使 用 挑战 密码 ， 则 不 用 配置 挑战 密码 





10 “| 通过 Web、 磁 盘 、 电 子 邮件 等 带 外 方式 将 证 书 申请 文件 发 送 给 CA， 回 CA 申请 本 地 证 书 


8.3.4 ”本 地 证 书 申请 和 更 新 管理 命令 


己 经 完成 申请 和 更 新 本 地 证 书 的 所 有 配置 后 , 可 在 任意 视图 下 通过 以 下 系列 display 
命令 检查 相关 配置 ， 验 证 配置 的 正确 性 。 

。 display pki credential-storage-path: 查看 证 书 的 缺 省 保存 路 径 。 

e display pki certificate enroll-status [ realm realm-name ]: 但 看 所 有 或 指定 PKI 域 
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下 证 书 的 注册 状态 。 

。 display pki cert-req filename file-name: 查看 指定 证 书 请 求 文件 的 内 容 。 

e display pki cmp statistics [ session session-name ]: 查看 本 地 所 有 或 指定 CMP 会 话 
的 统计 信息 。 

e display pki certificate { ca | local } realm realm-name: 查看 设备 上 指定 PKI 域 下 
已 加 载 的 CA 证 书 和 本 地 证 书 的 内 容 。 


8.4 本 地 证 书 的 下 载 和 安装 


如 果 采 用 离线 方式 申请 本 地 证 书 ， 则 本 地 证 书 在 申请 好 后 ， 还 要 下 载 到 设备 上 并 进 
行 安 装 后 才能 生效 ， 本 节 具 体 介 绍 本 地 证 书 的 下 载 与 安装 方法 。 


8.4.1 下 载 本 地 证 书 


通过 SCEP 协议 或 CMPv2 协议 在 线 申请 本 地 证 书 时 ， 设 备 都 会 自动 下 载 本 地 证 书 。 
仅 当 采用 离线 申请 本 地 证 书 时 ， 才 需要 下 载 本 地 证 书 。 
通常 采用 以 下 方式 获得 本 地 证 书 (具体 采用 哪 种 方式 下 载 证 书 ， 取 决 于 CA 服务 器 
提供 的 服务 方式 〉。 
。 通过 HTTP 协议 从 Web 服务 器 上 下 载 本 地 证 书 , 将 本 地 证 书 下 载 到 设备 的 存储 介 
质 中 。 
下 载 的 方法 是 在 系统 视图 下 执行 pki http [ esc ] urli-address save-name 命令 ， 配 置 通 
过 HTTP 方式 下 载 本 地 证 书 。wrl-address 必须 包含 CA 服务 器 IP 地 址 或 域名 、 完 整 的 证 
书 文件 及 扩展 名 ,例如 http://10.1.1.1:8080/cert.cer。 如 果 设 置 为 域名 方式 ， 必 须 保证 该 域 
名 可 以 正常 解析 。 
。 通过 LDAP 协议 从 存放 证 书 的 服务 器 上 下 载 本 地 证 书 , 将 本 地 证 书 下 载 到 设备 的 
存储 介质 中 。 
下 载 的 方法 是 在 系统 视图 下 执行 pki ldap ip ip-address port port version version 
[ attribute attr-value ] [ authentication ld4ap-dn Idap-password ] save-name dn dn-value 命 
令 ， 配 置 通过 LDAP 方式 下 载 本 地 证 书 。 命 令 参数 说 明 如 下 。 
国 ip-address: 指定 LDAP 服务 器 的 IP 地址 。 
图 port: 指定 LDAP 服务 器 的 传输 层 疹 口 ， 缺 省 值 为 389。 
图 version: 指定 LDAP 服务 器 运行 的 LDAP 协议 版 本 ， 取 值 为 2 或 3， 缺 省 值 为 3。 
国 attribute attr-value : 可 选 参数 ， 指 定 设备 同 LDAP 服务 器 获取 证 书 时 使 用 的 
属性 值 ,字符 串 形式 ， 区 分 大 小 写 ， 不 文 持 空格 和 问号 ,长 度 范围 是 1 一 64， 一 般 不 需 配 置 。 
国 authentication /Cap-dz 1dap-password: 可 选 参 数 ， 指 定 LDAP 服务 右 认 证 的 用 
户 名 和 密码 ，LDAP 服务 器 配置 时 才 需 要 指定 ， 并 且 要 与 LDAP 服务 器 上 的 配置 一 致 。 
国 save-name: 指定 本 地 证 书 保 存在 设备 内 存 时 的 证 书 文 件 名 。 
国 dn dn-value: 指定 设备 回 LDAP 服务 器 获取 证 书 时 使 用 的 标识 符 DN。 
。 通过 融 外 方式 《Web、 人 磁盘、 电子 邮件 等 ) 获得 本 地 证 书后 ， 上 传 到 设备 的 存储 
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介质 中 。 

用 户 通过 Web、 和 磁盘 、 电 子 邮 件 等 方式 获得 本 地 证 书后 ， 需 要 手工 上 传 到 设备 的 存 
储 介 质 中 ; 也 可 以 选择 通过 管理 PC 下 载 证 书后 ， 使 用 FTP/SFTP 或 Web 方式 上 传 到 设 
备 的 存储 介质 中 。 






在 V200R006 之 前 版 本 中 ， 下 载 证 书 的 方法 很 简单 ， 就 是 在 系统 视图 下 执行 pki 
即 可 以 获取 CA 证 书 或 本 地 证 书 。 


get-certificate { ca | local } pki-realm-name 命令 ， 
8.4.2 ”本 地 证 书 安装 


本 地 证 书 的 安装 就 是 证 书 的 导入 过 程 。 下 载 的 本 地 证 书 只 有 导入 到 设备 的 内 存 中 才 
可 以 正常 生效 ， 并 且 设备 会 将 导入 内 存 证 书 文件 保存 到 缺 省 目录 下 的 ca_config.ini 文件 
中 ， 在 重启 后 可 以 自动 加 载 文件 中 记录 的 证 书 文件 。 仅 当 采 用 CMP 协议 或 离线 方式 申 
请 本 地 证 书 时 ， 才 需要 手动 安装 本 地 证 书 ， 通 过 SCEP 协议 申请 本 地 证 书 会 自动 安装 本 
地 证 书 。 

安装 本 地 证 书 前 ， 要 确保 已 经 完成 本 地 证 书 的 下 载 ， 证 书 文件 已 经 保存 到 设备 的 存 
储 介 质 中 。 安 装 本 地 证 书 的 步骤 见 表 8-13。 


表 8-13 安装 本 地 证 书 的 配置 步 又 
步骤 命令 说 明 
system-view 进入 系统 视 


例如 : <Huawei> system-view 
将 本 地 证 书 导 入 到 设备 的 内 存 中 。 命 令 中 的 参数 和 选项 说 
明 如 下 。 

。 realm realm-name: 指定 导入 证 书 所 在 的 PKI 域名 。 

e der: 多 选 一 选项 ， 指 定 导 入 证 书 的 格式 为 DER 格式 。 
e pkcs12: 多 选 一 选项 , 指定 导入 证 书 的 格式 为 P12 格式 。 
。 pem: 多 选 一 选项 ， 指 定 导 入 证 书 的 格式 为 PEM 格式 。 


pki import-certificate { local 
realm realm-name { der | 
pkcsl12 | pem } [ filename 
filename | [ replace | [ no- 
check-validate | [ no-check- 


hash-alg | | realm realm-name 
pem terminal password 
password } 

例如 : [Huawei] pki import- 
certificate realm abc pem 
terminal password abc123 





。 filename filename: 可 选 参数 , 指定 导入 证 书 的 文件 名 称 。 
。 replace: 可 选项 , 指定 在 同一 个 PKI 域 下 有 相同 证 书 时 ， 
删除 原 有 证 书 及 对 应 的 RSA 密 钥 对 ， 导 入 新 的 证 书 。 但 仅 
当 原 有 证 书 对 应 的 RSA 密 钥 对 没有 被 非 当前 域 引 用 时 才能 
删除 证 书 和 密 钥 对 ; 当 原 有 证 书 对 应 的 RSA 密 钥 对 被 非 当前 
域 或 CMP 会 话 所 引用 时 ， 只 删除 原 有 证 书 ， 不 删除 密 钥 对 。 
。 no-check-validate: 可 选项 , 指定 导入 证 书 不 检查 证 书 的 
有 效 性 。 

。 no-check-hash-alg: 可 选项 ， 指 定 导 入 证 书 不 检查 证 书 
签名 的 HASH 算法 。 

。 terminal: 指定 通过 终端 方式 导入 证 书 ， 即 设备 文 持 通 
过 文本 工具 打开 格式 为 PEM 的 证 书 文件 后 , 将 证 书 内 容 找 
贝 后 粘贴 到 设备 上 。 

。 password password: 指定 请 求证 书 时 的 挑战 密码 。 要 与 
证 书 中 携带 的 挑战 密码 一 致 ， 这 也 是 原来 在 申请 本 地 证 书 
中 的 可 选 配置 
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_ 和 
步骤 命令 | i | 
配置 内 存 中 的 本 地 证 书 的 过 期 预告 警 时 间 ， 整 数 形式 ， 取 

pki set-certificate expire- 值 范 围 闫 7~ 1 80 缺 省 值 为 时 仅 适 用 V200R006 及 以 后 


Bn ene en ee 的 本 地 证 书 的 过 期 预告 警 时 间 为 7 天 

a pe 可 用 he pi set-certificate ES 命令 恢复 
内 存 中 的 本 地 证 书 和 CA 证 书 的 过 期 预告 警 时 间 为 缺 省 值 

以 上 配置 好 后 , 可 在 任意 视图 下 执行 display pki certificate local realm realm-name 命令 查看 设备 上 已 
加 载 的 本 地 证 书 的 内 容 ， 验 证 是 否 成 功 安装 了 本 地 证 书 。 

如 果 和 需要 把 本 地 证 书 拷贝 到 其 他 设备 上 使 用 ， 可 以 执行 pki export-certificate local 
realm realm-name { der | pem | pkcs12 } 命 令 ， 将 本 地 证 书 导 出 到 设备 的 存储 介质 中 。 然 
后 ， 用 户 可 以 通过 FTP/SFTP 取出 本 地 证 书 。 

如 条 需要 把 系统 缺 省 内 置 的 本 地 证 书 拷贝 到 其 他 设备 上 使 用 ， 可 以 执行 pki export- 
certificate default local filename filename 命令 ， 将 系统 缺 省 内 置 的 本 地 证 书 导出 到 设备 存 
储 介质 中 。 然 后 ， 用 户 可 以 通过 FTP/SFTP 取出 本 地 证 书 。 


8.4.3 ”本 地 证 书 下 载 与 安装 管理 命令 


本 地 证 书 下 载 和 安装 配置 完成 后 ， 可 通过 以 下 display 命令 在 任意 视图 下 查看 相关 
配置 。 

。 display pki ocsp cache statistics: 查看 OCSP 啊 应 缓存 的 统计 信息 。 

e display pki ocsp server down-information: 得 看 设备 上 记录 的 OCSP 服务 器 
DOWN 状态 信息 。 

。 display pki certificate { ca | local | ocsp } realm realm-name: 查看 设备 上 指定 PKI 
域 中 已 加 载 的 CA 证 书 、 本 地 证 书 或 者 OCSP 服务 器 证 书 的 内 容 。 

。 display pki certificate default { ca | local } : 查看 设备 上 缺 省 的 CA 证 书 和 本 地 证 
书 的 内 容 。 

e display pki peer-certificate { name peer-name | all }: 查看 已 导入 的 指定 或 所 有 对 
问 实 体 证 书 。 

在 用 户 视 图 下 执行 以 下 reset 命令 可 清除 指定 的 PKI 信息 。 

。 reset pki cmp statistics [ session session-name ]: 清除 本 地 所 有 或 指定 CMP 会 话 的 
统计 信息 。 

e reset pki ocsp response cache: 清除 OCSP 啊 应 缓存 。 

e reset pki ocsp server down-information [ url [ ese ] url-addr ]: 清除 设备 上 记录 的 
指定 路 径 下 的 OCSP 服务 器 DOWN 状态 信息 。 





8.5 验证 CA 证 书 和 本 地 证 书 的 有 效 性 


从 CA 服务 器 下 载 了 CA 证 书 ， 或 者 安装 了 本 地 证 书后 ， 如 果 想 要 验证 它们 的 有 效 
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性 ， 则 可 按 本 节 介 绍 的 方法 进行 。 同 时 适用 于 所 有 本 地 证 书 的 申请 方式 ， 但 这 是 可 选 配 
置 任 务 ， 如 果 你 不 需要 验证 ， 则 可 不 进行 本 项 配置 任务 。 


8.5.1 配置 检查 对 端 本 地 证 书 的 状态 


当 使 用 数字 证 书 的 VPN 应 用 中 ， 经 常 需 要 检查 对 端 实体 的 本 地 证 书 状 态 ， 例 如 要 
检查 对 端 实体 的 本 地 证 书 是 否 过 期 、 是 否 被 加 入 CRL。 检查 证 书 状态 的 方式 通常 有 三 种 : 
CRL 方式 、OCSP 方式 、None 方 式 。 这 是 在 一 端 对 另 一 端 本 地 证 书 的 合法 性 、 有 效 性 进 
行 验证 中 可 选 的 一 个 步骤 。 

(1) CRL 方式 

如 果 CA 支持 作为 CDP (CRL Distirbution Point，CRL 发 布点 )， 则 当 CA 颁发 证 书 
时 ， 在 证 书 中 会 包含 CDP 信息 ， 用 以 描述 获取 该 证 书 CRL 的 途径 和 方式 。PKI 实体 利 
用 CDP 中 指定 的 机 制 (HTTP、LDAP 方式 ) 和 地 址 来 下 载 CRL。 在 CRL 方式 中 又 包括 
自动 更 新 CRL 和 手动 更 新 CRL 两 种 方式 ， 但 V200R006 之 前 版 本 VRP 系统 不 支持 手动 
更 新 CRL 方式 。 

如 果 PKI 实体 配置 了 CDP 的 URL 地 址 ， 该 地 址 将 覆盖 证 书 中 携带 的 CDP 信息 ， 
PKI 实体 使 用 配置 的 URL 来 获取 CRL。 如 果 CA 不 支持 作为 CDP， 则 PKI 实体 可 以 使 
用 SCEP 方式 下 载 CRL。 

当 PKI 实体 验证 本 地 证 书 时 ， 先 查找 本 地 内 存 的 CRL， 如 果 本 地 内 存 没 有 CRL， 则 需 
下 载 CRL 并 安 状 到 本 地 内 存 中 ,如果 对 端 实体 的 本 地 证 书 在 CRL 中 , 表示 此 证 书 已 被 撤销 。 

(2) OCSP 方式 

在 IPSec 场景 中 ，PKI 实体 间 使 用 证 书 方式 进行 IPSec 协商 时 ， 可 以 通过 OCSP 方 
式 实 时 检查 对 端 实体 的 证 书 状态 。 

OCSP 克服 了 CRL 的 主要 缺陷 : PKI 实体 必须 经 党 下 载 CRL 以 确保 列表 的 更 新 。 
当 PKI 实体 访问 OCSP 服务 器 时 ， 会 发 送 一 个 对 于 证 书 状态 信息 的 请 求 。OCSP 服务 器 
会 回复 一 个 “有 效 ”“ 过 期 ”或 “未 知 ” 的 响应 。 

(3) None 方式 

如 果 PKI 实体 没有 可 用 的 CRL 和 OCSP 服务 器 ， 或 者 不 需要 检查 PKI 实体 的 本 地 
证 书 状态 ， 则 可 以 采用 None 方式 ， 即 不 检查 证 书 是 否 被 撤销 。 

1. 自动 更 新 CRL 方式 

采用 上 自动 更 新 CRL 方式 检查 证 书 状态 的 配置 方法 见 表 8-14。 必 须 已 配置 好 PKI 域 。 


表 8-14 自动 更 新 CRL 方式 检查 本 地 证 书 状态 的 配置 步骤 





system-view | 
例如 : <Huawei> system-view 进入 系统 视图 


pki file-format { der | pem } (可 选 ) 配 置 设备 保存 CRL 时 的 文件 格式 :DER 或 者 PEM 
2 例如 : [Huawei] pki file-format | 格式 。 
der 缺 省 情况 下 ， 设 备 保存 CRL 时 的 文件 格式 为 PEM 


pki realm realm-name 、 ee 
例如 : [Huawei] pki realm abc 进入 要 检查 本 地 证 书 状 态 的 PKI 域 的 视图 
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ee 





， 


配置 PKI 域 中 证 书 吊 销 状 态 的 检查 方式 。CRL 方式 还 可 
与 OCSP、None 方式 组 合 使 用 ， 但 在 V200R006 之 前 版 
本 中 仅 可 选择 其 中 一 种 ， 不 能 组 合 使 用 。 

如 果 配 置 了 多 种 吊销 状态 的 检查 方式 ， 会 按照 配置 的 先 
后 顺序 执行 ， 当 前 一 种 方式 不 可 用 (如 服务 器 连接 不 上 ) 
时 才 会 使 用 后 边 的 方式 。 如 果 选 用 了 不 检查 (none)， 当 
前 面 配置 的 方式 均 不 可 用 时 ， 认 为 证 书 有 效 。 
缺 省 情况 下 ，PKI 域 中 证 书 吊销 状态 的 检查 方式 为 CRL， 
可 用 undo _ certificate-check 命令 取消 PKI 域 中 配置 的 证 
书 吊 销 状 态 的 检查 方式 





certificate-check { crl | ocsp } 
[none] } 

例如 : [Huawei-pki-realm-abc] 
certificate-check crl none 


开启 CRL 自动 更 新 功能 。V200R006 之 前 版 本 不 支持 本 
命令 ， 因 为 这 些 版 本 仅 支 持 自动 CRL 更 新 方式 ， 不 支持 
手动 CRL 更 新 方式 。 

缺 省 情况 下 ,CRL 自动 更 新 功能 处 于 关闭 状态 , 可 用 undo 
crl auto-update enable 命令 执行 CRL 目 动 更 新 功能 


crl auto-update enable 
例如 : [Huawei-pki-realm-abc] 
crl auto-update enable 


配置 CRL 目 动 更 新 的 时 间 间 隔 ， 整 数 形式 ， 取 值 范围 为 







crl update-period interval 
例如 : [Huawei-pki-realm-abc] 
crl update-period 24 


crl scep 
例如 : [Huawei-pki-realm-abc] 
crl scep 


cdp-url [ esc ] url-addr 
例如 : [Huawei-pki-realm-abc] 
cdp-url http://10.1.1.1 


crl http 
例如 : [Huawei-pki-realm-abc] 
crl http 


cdp-url [ esc | uri-addr 
例如 : [Huawei-pki-realm-abc] 
cdp-url http://10.1.1.1 


crl ldap 
例如 ; [Huawei-pki-realm-abc] 
crl ldap 


缺 省 值 


通过 SCEP 
方式 目 动 
更 新 CRL 


通过 HTTP 
方式 上 自动 
更 新 CRL 
(V200R00 
6 之 前 版 本 
不 支持 ) 


通过 LDAP 
六 总 居 动 
更 新 CRL 
( V200R00 
6 以 前 版 本 
不 支持 ) 


1 一 720， 单 位 为 小 时 
缺 省 情况 下 ，CRL 目 动 更 新 的 时 间 间 隅 为 8h, 可 用 undo 
crl update-period 命令 恢复 CRL 目 动 更 新 的 时 间 间 陋 为 


配置 使 用 SCEP 方式 自动 更 新 CRL ， 
V200R006 以 前 版 本 不 支持 本 命令 。 
缺 省 情况 下 , 使 用 HTTP 方式 自动 更 新 CRL 


配置 CRL 发 布点 的 URL，V200R006 之 前 
版 本 不 支持 命令 中 的 esc 可 选项 。 
缺 省 情况 下 ， 系 统 未 配置 CRL 发 布点 的 
URL 


配置 使 用 HTTP 方式 自动 更 新 CRL。 
缺 省 情况 下 ,使 用 HTTP 方式 自动 更 新 CRL 


配置 CRL 发 布点 的 URL， 或 者 执行 cdp-url 
from-ca 命令 ， 配 置 从 CA 证 书 中 获取 CDP 
URL 


缺 省 情况 下 ， 系 统 未 配置 CRL 发 布点 的 
URL 


配置 使 用 LDAP 方式 自动 更 新 CRL。 
缺 省 情况 下 ， 使 用 HTTP 方式 自动 更 新 CRL 
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配置 使 用 LDAP 方式 目 动 更 新 CRL。 命 令 
中 的 参数 说 明 如 下 。 
e authentication ldap-dn ldap-password: 一 
选 一 参数 ， 服 务 器 的 用 户 名 和 密码 。 
e。 ip ip-address: 二 选 一 参数 ， 指 定 LDAP 
服务 器 卫 地 址 。 
e。 port port: 可 多 选 参数 ， 指 定 LDAP 协议 
的 端口 号 ， 缺 省 为 389。 
e version version: 可 多 选 参数 ， 指 定 运行 
的 LDAP 协议 版 本 ， 为 2 或 3， 缺 省 为 3。 
缺 省 情况 下 ， 系 统 未 配置 LDAP 服务 器 


























ldap-server { authentication 
Idap-dn Idap-password | ip ip- 
address [ port port | version 
version] } 


例如 : [Huawei-pki-realm-abc] 
ldap-server ip 10.1.1.1 port 
3389 version 2 






通过 LDAP 
方式 目 动 









更 新 CRL 
/ ( V200R00 配置 向 LDAP 服务 器 获取 CRL 时 使 用 的 属 
6 以 前 版 本 | 性 和 标识 符 。 命 令 中 的 参数 说 明 如 下 。 
不 支持 ) 。 attribute attr-value: 可 选 参数 ,指定 设备 
问 LDAP 服务 器 获取 CRL 时 使 用 的 属性 值 ， 
crl ldap [ attribute attr-value | 字符 串 形式 ， 长 度 范 围 为 1 一 64， 区 分 大 小 
dn dn-value 写 ， 缺 省 值 是 certificateRevocationList。 
例如 : [Huawei-pki-realm-abc] e。 dn-value: 指定 设备 癌 LDAP 服务 器 获取 
crl ldap attribute abcde dn test CRL 时 使 用 的 标识 符 ， 通常 由 用 户 通 用 名 、 
组 织 单位 、 国 家 或 者 证 书 持 有 人 的 姓名 等 信 
县 组 成 。 
缺 省 情况 下 , 系统 未 配置 向 LDAP 服务 器 获 
取 CRL 时 使 用 的 属性 和 标识 符 
配置 允许 PKI 域 使 用 缓存 中 的 CRL。 使 用 CRL 验证 证 书 
crl cache 时 , 会 将 缓存 中 的 CRL 和 履 盖 内 存 中 的 CRL 并 用 来 验证 证 
8 | 例如 : [Huawei-pki-realm-abc] | 书 。 如 果 不 允 许 PKI 域 使 用 缓存 中 的 CRL， 则 每 次 需要 
crl cache 时 都 将 重新 下 载 最 新 的 CRL， 履 盖 内 存 中 原 有 的 CRL。 
缺 省 情况 下 ， 系 统 允 许 PKI 域 使 用 缓存 中 的 CRL 
quit 
9 例如 : [Huawei-pki-realm-abc] | 返回 系统 视图 
quit 
pki get-crl realm realm-name 立即 更 新 指定 PKI 域 中 的 CRL。 立 即 更 新 CRL 后 ,新 的 
10 “| 例如 : [Huawei-pki-realm-abc] | CRL 会 替换 设备 存储 介质 中 原来 的 CRL， 同 时 新 的 CRL 


pki get-crl realm test 也 会 被 目 动 导入 设备 内 存 中 替换 原来 的 CRL 


2. 手动 更 新 CRL 方式 
采用 手动 更 新 CRL 方式 检查 证 书 状 态 的 配置 方法 见 表 8-15。 必须 已 配置 好 PKI 域 。 
V200R006 之 前 版 本 VRP 系统 不 支持 此 种 CRL 更 新 方式 。 


表 8-15 手动 更 新 CRL 方式 检查 本 地 证 书 状 态 的 配置 步骤 












system-view 
] 2 大 
例如 : <Huawei> system-view 进入 系统 视图 
pki realm realm-name 、 
2 W 1 站 斗 人 态 » » Nn 
例如 : [Huawei] pki realm abc 进入 要 检查 本 地 证 书 状态 的 PKI 域 的 视图 
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certificate-check { crl | ocsp } 


[none] } 


例如 : [Huawei-pki-realm-abc] 
certificate-check crl none 





( 续 表 ) 





SY : 
配置 PKI 域 中 证 书 吊 销 状 态 的 检查 方式 。CRL 方式 还 可 
与 OCSP、None 方式 组 合 使 用 。 

如 果 配 置 了 多 种 吊销 状态 的 检查 方式 ， 会 按照 配置 的 先 
后 顺序 执行 ， 当 前 一 种 方式 不 可 用 《如 服务 器 连接 不 上 ) 
时 才 会 使 用 后 边 的 方式 。 如 果 选 用 了 不 检查 (none)， 则 
当前 面 配 置 的 方式 均 不 可 用 时 ， 认 为 证 书 有 效 。 

缺 省 情况 下 ，PKI 域 中 证 书 吊 销 状态 的 检查 方式 为 CRL， 
可 用 undo _ certificate-check 命令 取消 PKI 域 中 配置 的 证 


书 帅 销 状态 的 检查 方式 
quit 
例如 : [Huawei-pki-realm-abc] | 返回 系统 视图 


quit 
pki file-format { der | pem } 


例如 : [Huawei] pki file-format 
der 


pki http [ esc ] url-address 
save-name 

例如 : [Huawei] pki http 
http://10.1.1.1/test.cer local.cer 


pki ldap ip ip-address port port 
version version [ attribute attr- 
value | [ authentication /dap-dn 
ldap-password | save-name dn 
dn-value 

例如 : [Huaweil] pki ldap ip 
10.1.1.1 port 3389 version 2 
local.cer dn admin 





pki import-crl realm realm- 
name filename file-name 

例如 : [Huawei] pki import-crl 
realm abc filename abc.crl 





(可 选 ) 配 置 设备 保存 CRL 时 的 文件 格式 :DER 或 者 PEM 
格式 。 

缺 省 情况 下 ， 设 备 保存 CRL 时 的 文件 格式 为 PEM 

(二 选 一 ) 配置 通过 HTTP 方式 下 载 CRL。 命 令 中 的 参数 
和 选项 说 明 如 下 。 

e esc: 可 选项 ， 指 定 以 ASCII 码 形式 输入 URL 地 址 。 

e url-address: 指定 CA 证 书 、 本 地 证 书 或 CRL 的 URL 地 址 ， 
字符 串 形 式 ， 区 分 大 小 写 ， 长 度 范围 为 1 一 128。 必 须 包 含 完 整 
的 证 书 文 件 及 扩展 名 ， 例 如 http://10.1.1.1:8080/cert.cer cert.cer。 
如 果 设 置 为 域名 方式 ， 则 必须 保证 该 域名 可 以 正常 解析 。 

e save-name: 指定 CA 证 书 、 本 地 证 书 或 CRL 保存 到 设 
备 的 flash 中 的 名 称 ， 字 符 串 形式 ， 不 区 分 大 小 写 ， 长 度 
范围 为 1 一 64 


(二 选 一 ) 配置 通过 LDAP 方式 下 载 CRL。 参数 说 明 参 见 
表 8-14 第 7 步 ldap-server { authentication ldap-dn /Cap- 
password | ip ip-address [ port port | version version | } 命 


令 中 的 对 应 参数 说 明 


将 CRL 导入 设备 的 内 存 中 


3. OCSP 方式 检查 证 书 状态 


采用 OCSP 方式 检查 证 书 状 态 的 配置 方法 见 表 8-16。 必 须 已 配置 好 PKI 域 。 
OCSP 方式 检查 本 地 证 书 状 态 


表 8-16 


system-view 


进入 系统 视 网 


例如 : <Huawei> system-view 


pki realm realm-name 


例如 : [Huawei] pki realm abc 


的 配置 步骤 


说 明 


进入 要 检查 本 地 证 书 状态 的 PKI 域 的 视图 
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certificate-check fcrllocsp } 
[none] } 

例如 : [Huawei-pki-realm-abc] 
certificate-check ocsp none 


ocsp url [ esc ] url-address 


例如 : 


[Huawel-pkli-realm-abc |] 


ocsp Url http://10.1.1.1 


ocsp nonce enable 
例如 : [Huawei-pki-realm-abc] 
ocsp nonce enable 


ocsp signature enable 
例如 : [Huawei-pki-realm-abc] 
ocsp signature enable 





quit 
例如 : 
quit 


[Huawel-pkli-realm-abc | 


pki import-certificate ocsp 
realm realm-name { der | 
pkcs12 | pem } [ filename 
filename | 

例如 : [Huawei] pki import- 
certificate ocsp realm abc pem 
filename abc123.cer 


pki ocsp response cache enable 


例如 : 


[Huawel] pki ocsp 
response cache enable 
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配置 PKI 域 中 证 书 吊销 状态 的 检查 方式 OCSP 方式 还 可 
与 CRL、None 方式 组 合 使 用 ， 但 在 V200R006 之 前 版 本 
中 仅 可 选择 其 中 一 种 ， 不 能 组 合 使 用 。 
如 果 配 置 了 多 种 吊销 状态 的 检查 方式 ， 会 按照 配置 的 先 
后 顺序 执行 ， 当 前 一 种 方式 不 可 用 《〈 如 服务 器 连接 不 上 ) 
时 才 会 使 用 后 边 的 方式 。 如 果 选 用 了 不 检查 (none)， 当 
前 面 配置 的 方式 均 不 可 用 时 ， 认 为 证 书 有 效 。 
缺 省 情况 下 ，PKI 域 中 证 书 吊 销 状 态 的 检查 方式 为 CRL， 
可 用 undo certificate-check 命令 取消 PKI 域 中 配置 的 证 
书 吊销 状态 的 检查 方式 
jer OCSP 服务 器 的 URL。 或 者 执行 ocsp-url from-ca 
命令 ， 配 置 从 CA 证 书 的 AIA 选项 中 获取 OCSP 服务 器 
的 URL。V200R006 之 前 版 本 不 支持 ese 选项 。 
缺 省 情况 下 ， 系 统 未 配置 OCSP 服务 名 的 URL 
(可 选 ) 配 置 PKI 实体 发 送 OCSP 请 求 时 带 有 Nonce 扩展 。 
通过 该 功能 可 以 增强 PKI 实体 与 OCSP 服务 器 通信 时 的 
安全 性 和 可 靠 性 。 配置 后 ,PKI 实体 与 OCSP 服务 器 通信 
时 发 送 的 OCSP 请 求 中 带 有 Nonce 扩展 ， 内 容 为 随机 数 。 
对 于 OCSP 服务 器 发 出 的 啊 应 报 文 ， 可 以 不 包含 Nonce 
扩展 ， 但 是 如 果 包 含 了 Nonce 扩展 ， 则 必须 与 OCSP 请 
求 中 的 Nonce 扩展 一 致 。 
V200R006 之 前 版 本 VRP 系统 不 支持 本 命令 。 
缺 省 情况 下 ，PKI 实体 发 送 OCSP 请 求 时 带 有 Nonce 扩展 
(可 选 ) 开启 OCSP 请 求 消 轧 签名 功能 。 如 果 OCSP 服务 
器 要 求 对 OCSP 请 求 消息 进行 签名 保护 ， 则 设备 需要 配 
置 本 命令 。 
V200R006 之 前 版 本 VRP 系统 不 支持 本 命令 。 
缺 省 情况 下 ，OCSP 请 求 消息 签名 功能 处 于 关闭 状态 


返回 系统 视图 


将 OCSP 服务 器 证 书 导入 到 设备 的 内 存 中 。 命 令 中 的 参 
ee oa (V200R006 之 前 版 本 VRP 系统 不 支 
持 本 命令 ) 

e realm realm-name: 指定 导入 证 书 所 在 的 PKI 域名 。 

e der: 多 选 一 选项 ， 指 定 导 入 证 书 的 格式 为 DER 格式 。 
e。 pkcs12: 多 选 一 选项 ， 指 定 导 入 证 书 的 格式 为 P12 格式 。 
。 pem: 多 选 一 选项 , 指定 导入 证 书 的 格式 为 PEM 格式 。 
e 可 选 参数 ， 指 定 导 入 证 书 的 文件 名 
称 ， 必 须 是 已 经 存在 的 文件 名 称 。 如 果 不 指 定 ， 收 入 指 
定 PKI 域 下 所 有 证 书 

开启 PKI 实体 缓存 OCSP 啊 应 的 功能 。 开 启 缓存 OCSP 响 
应 功能 后 ，PKI 实体 在 使 用 OCSP 检查 证 书 的 吊销 状态 时 ， 
会 先 查 找 缓存 ， 如 果 查 找 失 败 则 再 向 OCSP 服务 器 发 起 请 
求 。 同 时 ，PKI 实体 会 将 有 效 的 OCSP 啊 应 缓存 起 来 ， 以 便 
下 次 僵 找 。V200R006 以 前 版 本 VRP 系统 不 支持 本 命令 。 
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OCSP 啊 应 是 有 生效 期 限 的 , 开局 缓 存 OCSP 响应 功能 后 ， 
pki ocsp response cache enable | PKI 实体 会 每 隔 1min 刷新 缓存 的 OCSP 啊 应 ， 清 除 其 中 

2 例如 : [Huaweil] pki ocsp 过 期 的 OCSP 啊 应 。 
response cache enable 缺 省 情况 下 ，PKI 实体 缓存 OCSP 啊 应 的 功能 处 于 关闭 


(可 选 ) 配 置 PKI 实体 可 以 缓存 的 OCSP 响应 的 最 大 数量 ， 
整数 形式 ， 取 值 范围 为 1 二 8。V200R006 之 前 版 本 VRP 


pki ocsp response cache 系统 不 支持 本 命令 。 
number number 


10 例如 ，[Huaweil pki oes PKI 实体 可 以 将 有 效 的 OCSP 响应 缓存 起 来 , 以 便 下 次 查 
res i cache en 做 。 如 采 绥 存 的 OCSP 啊 应 的 数量 这 到 number 的 值 ， 则 
上 不 继续 缓存 。 

缺 省 情况 下 ，PKI 实体 可 以 缓存 的 OCSP 响应 的 最 大 数量 是 2 

(可 选 ) 配置 PKI 实体 刷新 OCSP 响应 缓存 的 周期 ， 整 数 

pki ocsp response cache 形式 ， 单位 为 分 钟 ， 取 值 范围 为 1 一 1440， 缺 省 值 为 Smin。 
refresh interval number PKI 实体 在 刷新 OCSP 啊 应 缓存 时 ， 会 将 刷新 时 的 时 间 与 

11 例如 : [Huawel] pki ocsp 收 到 OCSP 响应 时 所 记录 的 时 间 进 行 对 比 ， 如 果 超 过 了 


response cache refresh interval | 配置 的 interval 值 ， 则 删除 该 OCSP 啊 应 缓存 。 
10 V200R006 之 前 版 本 VRP 系统 不 支持 本 命令 。 
缺 省 情况 下 ，PKI 实体 刷新 OCSP 响应 缓存 的 周期 为 Smin 





如 果 需 要 把 OCSP 服务 器 证 书 拷贝 到 其 他 设备 上 使 用 时 ， 可 以 执行 pki export- 
certificate ocsp realm realm-name { der | pem | pkcs12 } 命 令 ， 将 OCSP 服务 器 证 书 导出 
到 设备 的 存储 介质 中 。 然 后 ， 可 以 通过 文件 传输 协议 取出 证 书 。 

如 果 OCSP 服务 器 证 书 过 期 或 者 不 使 用 时 ， 可 以 执行 pki delete-certificate ocsp realm 
realm-name 命令 ， 从 内 存 中 删除 OCSP 服务 絮 证 书 。 

如 果 CRL 过 期 或 者 不 使 用 时 ,可 以 执行 pki delete-crl realm realm-name 命令 ， 从 内 
存 中 删除 CRL。 


8.5.2 ”配置 检查 CA 证 书 和 本 地 证 书 的 有 效 性 


在 使 用 每 一 个 证 书 之 前 ， 必 须 对 证 书 进行 验证 ， 已 确保 证 书 的 合法 性 。 证 书 验证 包 
括 签发 时 间 、 签 发 者 信息 以 及 证 书 的 有 效 性 验证 。 证 书 验 证 的 核心 是 检查 CA 在 证 书 上 
的 签名 ， 以 确保 该 证 书 是 由 合法 CA 颁发 的 ， 并 确定 证 书 仍 在 有 效 期 内 ， 而 且 未 被 撤销 。 

为 完成 证 书 验证 ， 除 了 需要 对 端 实体 的 本 地 证 书 外 ， 本 地 设备 需要 下 面 的 信息 : CA 
证 书 、CRL、 本 地 证 书 及 其 私 钥 ， 证 书 认 证 相关 配置 信息 。 

本 地 证 书 验 证 的 主要 过 程 如 下 。 

(1) 使 用 CA 证 书 的 公 钥 验证 证 书 上 的 CA 签名 是 否 正确 。 

为 验证 一 个 证 书 的 合法 性 ， 首 先 需要 获得 颁发 这 个 证 书 的 CA 的 公 钥 〈 即 获得 CA 
证 书 )， 以 便 检查 该 证 书 上 CA 的 签名 。 一 个 CA 可 以 让 另 一 个 更 高 层次 的 CA 来 证 明 其 
证 书 的 合法 性 ， 这 样 顺 着 证 书 链 ， 验 证 证 书 就 变 成 了 一 个 县 代 过 程 ， 最 终 这 个 链 必 须 在 某 
个 “信任 点 ”( 一 般 是 持 有 自 签名 证 书 的 根 CA 或 者 是 PKI 实体 信任 的 中 间 CA) 处 结束 。 

任何 PKI 实体 ， 如 果 它 们 共享 相同 的 根 CA 或 子 CA， 并 且 已 获取 CA 证 书 ， 都 可 
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以 验证 对 端 证 书 。 一 般 情 况 下 ， 当 验证 对 端 证 书 链 时 ， 验 证 过 程 在 碰 到 第 一 个 可 信任 的 
证 书 或 CA 机 构 时 结束 。 证 书 链 的 验证 过 程 是 一 个 从 目标 证 书 ( 待 验证 的 PKI 实体 证 书 》 
到 信任 点 证 书 逐 层 验证 的 过 程 。 

(2) 根据 证 书 的 有 效 期 ， 验 证 该 证 书 是 否 过 期 。 

(3) 检查 证 书 的 状态 ， 即 通过 CRL 和 None 方式 检查 证 书 是 否 被 撤销 ， 参 见 8.5.1 
节 介 绍 的 验证 方法 。 

当 用 户 需 要 验证 本 地 设备 的 CA 证 书 和 本 地 证 书 的 有 效 性 时 ， 可 在 系统 视图 下 执行 
pki validate-certificate { ca | local } realm realm-name 命令 检查 CA 证 书 或 本 地 证 书 的 有 
效 性 。 但 本 命令 只 能 验证 根 CA 的 CA 证 书 有 效 性 ， 不 能 验证 从 属 CA 的 CA 证 书 有 效 
性 。 在 多 级 CA 的 环境 中 ， 当 设备 上 导入 了 多 个 CA 证 书 时 ， 只 能 使 用 pki validate- 
certificate local realm realm-name 命令 来 验证 从 属 CA 的 CA 证 书 有 效 性 。 


8.5.3 ”验证 CA 证 书 和 本 地 证 书 有 效 性 管理 命令 


当 完 成 验证 CA 证 书 和 本 地 证 书 的 所 有 配置 后 ， 可 在 任意 视图 下 执行 以 下 display 命 
令 检查 证 书 的 相关 内 容 。 

e display pki crl { realm realm-name | filename filename }: 查看 设备 中 指定 PKI 域 
或 指定 文件 中 的 CRL 内 容 。 

。 display pki certificate ocsp realm realm-name: 查看 设备 上 指定 PKI 域 中 己 加 载 的 
OCSP 服务 器 证 书 的 内 容 。 

e display pki ocsp cache statistics: 查看 OCSP 啊 应 缓存 的 统计 信息 。 

。 display pki ocsp server down-information: 查看 设备 上 记录 的 OCSP 服务 器 
DOWN 状态 信息 。 


8.6 配置 证 书 扩展 功能 


本 市 将 介绍 证 书 的 获取 、 删 除 、 配 置 自 签名 证 书 或 设备 本 地 证 书 ， 配 置 PKI 加 入 指 
定 的 VPN 中 等 方面 的 配置 方法 。 

1. 配置 获取 证 书 

当 PKI 实体 通过 SCEP 或 CMPv?2 协议 申请 本 地 证 书 时 , PKI 实体 可 以 向 CA 服务 器 
查询 并 获取 已 颁发 的 证 书 至 设备 存储 介质 中 。 该 证 书 可 以 是 PKI 实体 自身 的 本 地 证 书 ， 也 
可 以 是 CA 证 书 ， 或 其 他 PKI 实体 的 本 地 证 书 。 此 处 介绍 的 是 一 种 手工 获取 证 书 的 方式 。 

获取 CA 证 书 时 ， 设 备 会 目 动 将 CA 证 书 导 入 到 设备 内 存 中 ; 获取 本 地 证 书 时 ， 需 
要 通过 手工 方式 将 其 导入 到 设备 内 存 中 。 

获取 证 书 的 目的 有 两 个 : 

。 将 CA 颁发 的 与 PKI 实体 所 在 安全 域 有 关 的 证 书 存放 到 设备 存储 介质 中 ， 以 提高 
证 书 的 查询 效率 ， 减 少 向 PKI 证 书 存储 库 查 询 的 次 数 。 

。 为 证 书 的 验证 做 好 准备 。 

手工 方式 获取 证 书 的 方法 是 在 系统 视图 下 通过 执行 pki get-certificate { ca | local } 
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realm realm-name 命令 ， 获 取 CA 证 书 或 本 地 证 书 到 设备 的 存储 介质 中 。 如 果 设 备 中 存 
在 相同 的 证 书 ， 则 需要 删除 设备 中 的 证 书 ， 否 则 会 导致 获取 证 书 失 败 。 

【经 验 提 示 】〗 通 过 SCEP 或 CMPv2 协议 申请 本 地 证 书 ， 系 统 会 自动 从 CA 服务 器 上 
下 载 CA 证 书 和 申请 成 功 的 本 地 证 书 到 存储 介质 ， 所 以 一 般 情 况 下 无 需 另 外 执行 本 项 证 书 
获取 操作 。 但 如 果 发 现在 本 地 设备 的 存储 介质 上 没有 看 到 所 期 望 的 CA 证 书 或 本 地 证 书 , 也 
可 以 再 次 通过 执行 以 上 命令 进行 获取 ， 这 样 也 可 以 进一步 验证 本 地 证 书 的 申请 是 否 成 功 。 

2. 删除 本 地 证 书 

本 地 证 书 过 期 或 者 重新 申请 新 的 证 书 时 ， 可 以 删除 本 地 证 书 ， 方 法 是 在 系统 视图 下 
执行 pki delete-certificate local realm realm-name 命令 ， 从 内 存 中 删除 本 地 证 书 。 

3. 配置 手 入 和 释放 对 端 实体 的 证 书 

当 采 用 数字 信封 认证 方式 时 ， 如 果 设 备 作为 数据 发 送 者 ， 设 备 上 需要 配置 数据 接收 
者 的 公 铀 。 导 入 对 病 实 体 的 证 书 即 为 获取 对 端 实体 公 钥 的 一 种 方法 ， 该 方法 建立 了 用 户 
身份 信息 与 用 户 公 钥 的 关联 ， 安 全 性 高 ， 适 合 在 大 规模 网 络 时 部 署 。 

当 导 入 的 对 闯 实 体 的 证 书 不 需要 使 用 时 ， 可 以 将 对 端 实体 的 证 书 释 放 。 

导入 对 病 实 体 证 书 的 方法 是 在 系统 视图 下 执行 pki import-certificate peer peer-name 
{ {der | pem | pkcs12 } filename [ filename ] | pem terminal } 命 令 ， 导 入 对 端 实体 的 证 书 
到 设备 的 内 存 中 。 

释放 对 问 实 体 的 证 书 的 方法 是 在 系统 视图 下 执行 pki release-certificate peer { name 
peer-name | all 命令， 释放 对 端 实体 的 证 书 。 

可 通过 执行 display pki peer-certificate { name peer-name | all } 命 令 ， 查 看 已 导入 的 
对 端 实体 证 书 ， 以 此 来 验证 导入 或 者 释放 对 端 实体 证 书 是 否 成 功 。 

4. 配置 自 签名 证 书 或 设备 本 地 证 书 

如 果 人 设备 无 法 同 CA 申请 本 地 证 书 ， 则 可 以 通过 设备 生成 目 签名 证 书 或 设备 本 地 证 
书 ， 生 成 的 证 书 以 文件 形式 保存 在 存储 器 中 ， 实 现 简 单 的 证 书 颁 发 功能 。 用 户 可 以 将 证 
书 导出 供 其 他 设备 使 用 。 

目 签名 证 书 是 设备 为 目 己 颁 发 的 证 书 ， 即 证 书 颁 发 者 和 证 书 主体 相同 ; 设备 本 地 证 
书 是 设备 根据 CA 证 书 给 自己 颁发 的 证 书 ， 证 书 颁 发 者 是 CA。 

配置 自 签名 证 书 或 设备 本 地 证 书 的 方法 是 在 系统 视图 下 执行 pki create-certificate 
[ self-signed ] flename file-name 命令 ， 创 建 日 签名 证 书 或 设备 本 地 证 书 。 选 择 self-signed 
选项 时 ， 创 建 目 签名 证 书 ; 不 选择 此 选项 时 ， 创 建设 备 本 地 证 书 。 创 建 的 目 签名 证 书 或 
设备 本 地 证 书 的 文件 格式 为 PEM。 

配置 时 ， 会 提示 用 户 输入 证 书 的 一 些 信息 ， 如 PKI 实体 属性 、 证 书 文件 名 称 、 证 书 
有 效 期 和 RSA 密 钥 长 度 等 。 

5.， 配置 PKI 域 加 入 到 指定 的 VPN 内 

当 CA 等 服务 器 位 于 某 个 VPN 内 时 , 为 了 让 设备 可 以 与 这 些 服务 器 进行 通信 以 实现 
证 书 的 获取 或 有 效 性 校 验 等 功能 ， 此 时 需 配 置 PKI 域 加 入 到 指定 的 VPN 内 。 

配置 PKI 域 加 入 到 指定 的 VPN 内 的 方法 是 在 具体 的 PKI 域 视图 下 执行 vpn-instance 
vpn-instance-name 命令 ， 将 PKI 域 加 入 到 指定 的 VPN 内 。 缺 省 情况 下 ， 系 统 未 将 PKI 
域 加 入 到 任何 VPN 内 。 
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8.7 PKI 典型 配置 示例 


为 了 帮助 大 家 真正 掌握 本 章 前 面 所 介绍 的 各 种 本 地 证 书 申请 方式 的 配置 方法 ， 本 市 
将 介绍 几 个 不 同方 式 申 请 本 地 证 书 的 配置 示例 。 


8.7.1 通过 SCEP 协议 自动 申请 本 地 证 书 配置 示例 


如 图 8-7 所 示 ， 某 企业 在 网 络 边界 处 部 署 了 一路 由 器 作为 出 口 网 关 。 用 户 希 望 通过 
简单 快捷 的 方式 为 路 由 器 向 公 网 中 的 CA 服务 器 申请 本 地 证 书 ， 申 请 成 功 后 能 自动 将 证 
书 导入 到 设备 内 存 中 ， 而 且 证 书 过 期 时 能 自动 更 新 证 书 。 


Router 


CA 服务 器 
10.3.0.1 








GE1/0/1 
10.2.0.2/24 
















Public 
Network 





GE1/0/2 
10.1.0.2/24 





图 8-7 通过 SCEP 协议 自动 申请 本 地 证 书 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

通过 本 章 前 面 内 容 的 学 习 ， 我 们 已 知道 要 实现 本 示例 中 “申请 成 功 后 能 目 动 将 证 书 导 
入 到 设备 内 存 中 ， 而 且 证 书 过 期 时 能 自动 更 新 证 书 ” 的 要 求 ， 只 有 通过 配置 采用 SCEP 协议 
自动 为 设备 申请 本 地 证 书 , 因为 只 有 通过 SCEP 协议 才能 实现 证 书 的 自动 下 载 、 安 装 和 更 新 。 

根据 8.3.1 节 介 绍 的 通过 SCEP 协议 申请 本 地 证 书 的 具体 配置 方法 , 可 得 出 本 示例 的 


基本 配置 思路 如 下 。 
(1) 在 路 由 器 上 配置 接口 IP 地 址 ， 以 及 到 CA 服务 器 的 静态 路 由 ， 实 现 Router 和 
CA 服务 器 之 间 路 由 互通 。 


(2) 在 路 由 器 上 配置 PKI 实体 信息 ， 实 现 申请 本 地 证 书 时 携带 PKI 实体 信息 ， 用 来 
标识 路 由 器 设备 的 身份 。 

(3) 在 路 由 器 上 创建 RSA 密 钥 对 ， 实 现 申请 本 地 证 书 时 携带 公 钥 。 

(4) 在 路 由 器 上 配置 通过 SCEP 协议 申请 和 自动 更 新 证 书 ， 实 现 自动 安装 证 书 ， 并 
且 证 书 过 期 时 ， 能 自动 更 新 证 书 。 包 括 PKI 域 的 配置 。 






上 是“ 因 为 在 通过 SCEP 协议 为 PKI 实体 申请 本 地 证 书 时 ， 需 要 配置 用 于 验证 CA 证 书 的 数 
字 指 纹 〈 以 验证 CA 证 书 的 有 效 性 ) 和 挑战 密码 (CA 服务 器 通常 会 配置 ， 以 防止 非法 申请 )， 
所 以 在 申请 证 书 前 需要 以 离线 方式 从 CA 服务 器 上 获取 CA 证 书 的 数字 指纹 和 挑战 密码 ( 通 
过 询问 CA 服务 器 管理 人 员 即 可 得 到 ) 。 这 里 假设 数字 指纹 为 : “e71add0744360e91186b82 
8412d279e06dcc15a4ab4bb3d13842820396b526a0” 和 挑战 密码 为 “6AE73F21E6D3571D”。 
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本 示例 以 Windows Server 2008 作为 CA 服务 器 为 例 ， 可 以 通过 登录 网 页 http://host: 
port/certsrv/mscep admin/ 获 得 CA 证 书 指纹 信息 和 挑战 密码 ， 其 中 host 为 CA 服务 器 
的 IP 地 址 ，port 为 CA 服务 器 的 端口 号 。 本 示例 假设 证 书 的 申请 URL 地 址 为 http://10.3.0. 
1:80/certsrv/mscep/mscep.dll。 

具体 配置 步骤 

(1) 配置 路 由 器 的 接口 IP 地 址 ， 以 及 到 达 CA 服务 器 的 静态 路 由 。 假 设 下 一 跳 IP 

地 址 为 10.2.0.1/24。 当 然 在 公 网 疹 设 备 上 也 要 配置 到 达 路 由 器 的 路 由 。 


<Huawe!l> system-view 

[Huawei| sysname Router 

[Router] interface gigabitethernet 1/0/1 
[Router-GigabitEthernet1/0/1 | ip address 10.2.0.2 255.255.255.0 
[Router-GigabitEthernet1/0/1] quit 

[Router| interface gigabitethernet 1/0/2 
[Router-GigabitEthernet1/0/2| ip address 10.1.0.2 255.255.255.0 
[Router-GlgabltEthernet1/0/2] quit 

[Router| ip route-static 10.3.0.0 255.255.255.0 10.2.0.1 


(2) 配置 PKI 实体 ， 标 识 申 请 证 书 PKI 实体 的 身份 信息 。 在 多 数 情况 下 ， 只 需 执 行 
前 面 3 步 即 可 。 


[Router] pki entity user01 #--- 配 置 PKI 实体 的 名 称 为 user01 

[Router-pki-entity-user01] common-name lycb #--- 配 置 PKI 实体 的 通用 名 为 lycb 

Router-pki-entity-user01] country cn #--- 配 置 PKI 实体 的 国 别 为 中 国 

[Router-pki-entity-user01] email user(@test.abc.com”#--- 配 置 PKI 实体 的 电子 邮箱 为 user@test.abc.com 

[Router-pki-entity-user01] fqdn test.abc.com #--- 配 置 PKI 实体 的 域名 为 test.abc.com 

[Router-pki-entity-user01] ip-address 10.2.0.2 #--- 配 置 PKI 实体 的 卫 为 10.2.0.2 

[Router-pki-entity-user01] state Jiangsu #--- 配 置 PKI 实体 的 区 域 位 置 为 江苏 省 

[Router-pki-entity-user01] organization huawei #--- 配 置 PKI 实体 的 工作 单位 为 华为 

[Router-pki-entity-user01] organization-unit info ”##-- 配 置 PKI 实体 的 部 门 为 信息 部 

[Router-pKki-entity-user01] quit 

(3) 创建 RSA 密 钥 对 。RSA 密 钥 对 名 称 为 rsa_ scep， 在 创建 提示 输入 密 钥 倍 数 时 输 
入 2048， 并 设置 为 可 以 从 设备 上 导出 (命令 中 市 exportable 选项 )， 用 于 把 其 中 的 公 钠 


发 给 对 站 设备 ， 实 现 对 本 端 设 备 的 验证 。 
[Router] pki rsa local-key-pair create rsa_scep exportable 
Info: The name of the new key-pair will be: rsa_scep 
The Size of the public key ranges from 512 to 4096. 
Input the bits in the modules:2048 
Generating Key-pals.. 141+ 


本 


(4) 通过 SCEP 协议 申请 和 更 新 证 书 。 

结合 8.2.2 节 和 8.3.1 节 介 绍 的 步骤 创建 和 配置 PKI 域 ， 以 及 配置 通过 SCEP 协议 自 
动 申请 、 更 新 本 地 证 书 。 

# 创建 与 配置 PKI 域 


[Router] pki realm abc #--- 创 建 一 个 名 为 abc 的 PKI 域 

[Router-pki-realm-abc] ca id ca_root  #--- 指 定 信任 的 CA 服务 器 名 称 ， 假 设 为 ca_root 

[Router-pki-realm-abc] entity user01 ”#--- 指 定 以 上 PKI 域 绑 定 的 实体 名 称 为 user01 

[Router-pki-realm-abc] fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0 
#--- 配 置 CA 证 书 的 SHA2-S256 算法 的 数字 指纹 

# ”配置 通过 SCEP 协议 申请 本 地 证 书 

[Router-pki-realm-abc] enrollment-url http://10.3.0.1:80/certsrv/mscep/mscep.dll ra #--- 指 定 访问 CA 服务 器 的 URL 地 
址 ， 并 且 指 定 由 RA 进行 审核 PKI 实体 申请 本 地 证 书 时 的 身份 信息 
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[Router-pki-realm-abc] rsa local-key-pair rsa_scep #--- 指 定 通过 SCEP 协 议 申请 本 地 证 书 时 所 使 用 的 RSA 密 钥 对 名 称 为 
rsa_scep， 即 上 一 步 所 创建 的 RSA 密 钥 对 

[Router-pki-realm-abc] enrollment-request signature message-digest-method sha-384 #-- 配 置 在 同 CA 发 送 申 请 证 书 
请 求 时 利用 自己 的 私 公 钥 对 消息 进行 签名 时 所 用 的 摘要 算法 为 SHA2-384 

[Router-pki-realm-abc] password cipher 6AE73F21E6D3571D #--- 配 置 挑战 密码 ， 用 于 CA 服务 器 验证 申请 者 的 身份 

[Router-pki-realm-abc] auto-enroll 60 regenerate 2048 #--- 开 启 证 书 自动 注册 和 更 新 功能 ， 指 定 证 书 密 钥 长 度 为 2048 
位 ， 在 有 效 期 到 60% 时 自动 更 新 并 同时 更 新 RSA 密 钥 

[Router-pki-realm-abc| quit 


通过 以 上 配置 就 可 以 从 CA 服务 器 通过 SCEP 协议 自动 向 CA 服务 器 申请 注册 本 地 证 
书 。 在 申请 的 过 程 中 ,设备 会 先 获 取 CA 证 书 并 自动 安装 CA 证 书 ， 然 后 再 获取 本 地 证 书 并 
自动 安装 本 地 证 书 。 获 取 的 CA 证 书 和 本 地 证 书 名 称 分 别 为 abc_ ca.cer 和 abc local.cer。 

3. 配置 结果 验证 

本 地 证 书 申请 成 功 后 ， 可 通过 执行 display pki certificate local 命令 查看 已 经 导入 内 
存 的 本 地 证 书 的 内 容 。 

[Router] display pki certificate local realm abc 

The x509 object type ls certificate: 

Certificate: 

Data: 
Version: 3 (0x2) ”#--- 本 地 证 书 使 用 的 X.509 协议 版 本 号 为 3 
Serial Number: 。 #--- 本 地 证 书 序列 号 
48:65:aa:2a:00:00:00:00:3f:c6 
Signature Algorithm: shal WithRSAEncryption “”#-- 本 地 证 书签 名 算法 为 SHAI1 
Issuer: CN=ca _ root #--- 本 地 证 书 颁 发 者 名 称 为 ca_root 
Validity #--- 本 地 证 书 的 有 效 期 
Not Before: Dec 21 11:46:10 2015 GMT 
Not After : Dec 21 11:56:10 2016 GMT 
Subject: C=CN, ST=jiangsu, O=huawei, OU=info, CN=hello #--- 本 地 证 书 主题 字段 内 容 
Subject Public Key Info: #--- 本 地 证 书 公 钥 信息 


Public Key Algorithm: rsaEncryption #--- 本 地 证 书 公 钥 算法 为 RSA 
Public-Key: (2048 bit) #-- 本 地 证 书 公 钥 为 2048 位 
Modulus: #--- 本 地 证 书 公 钥 


00:94:6f:49:bd:6a:f3:d5:07:ee:10:ee:4f:d3:06: 
80:59:15:cb:a8:0a:b2:ba:c2:db:52:ec:e9:d1:a7: 
72:de:ac:35:df:bb:e0:72:62:08:3e:c5:54:c1:ba: 
4a:bb:1b:a9:d9:dc:e4:b6:4d:ca:b3:54:90:b6:8e: 
15:a3:6e:2d:b2:9e:9e:7a:33:b0:56:3f:ec:be:67: 
le:4c:$59:c6:67:0f:a7:03:52:44:8c:53:72:42:bd: 
6e:0c:90:5b:88:9b:2c:95:f7:b8:89:d1:c2:37:3e: 
93:78:fa:cb:2c:20:22:5f:e$:9c:61:23:7b:c0:e9: 
fe:b7:e6:9c:al:49:0b:99:ef:16:23:e9:44:40:6d: 
94:79:20:58:d7:el:$1:al:a6:4b:67:44:f7:07:71: 
$4:93:4e:32:ff:98:b4:2b:fa:$d:b2:3c:5b:df:3e: 
23:b2:8a:1a:75:7e:8f:82:58:66:be:b3:3c:4a:1c: 
2c:64:d0:3f:47:13:d0:5a:29:94:e2:97:dce:f2:d1: 
06:c9:7e:54:b3:42:2e:15:b8:40:f3:94:d3:76:al: 
91:66:dd:40:29:c3:69:70:6d:5a:b7:6b:91:87:e8: 
bb:cb:a5:7e:ec:a5:31:11:f3:04:ab: 1a:ef: 10:e6: 
fl:bd:d9:76:42:6c:2e:bf:d9:91:39:1d:08:d7:b4: 
18:53 
Exponent: 65537 (0x10001) 
X509v3 extensions: 
X509v3 Subject Alternative Name: 
IP Address:10.2.0.2, DNS:test.abc.com, email:user(@test.abc.com 
X309Vv3 Subject Key Identifier: 
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15:D1:F6:24:EB:6B:C0:26:19:58:88:91:8B:60:42:CE:BA:D5:4D:F3 
X509v3 Authority Key Identifier: 
keyid:B8:63:72:A4:5E:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C5 


X509v3 CRL Distribution Points: 


Full Name: 
URI:file:/M\vasp-e6000-127.china.huawei.com\CertEnroll\ca root.crl 
URI:http://10.3.0.1:8080/certenroll/ca root.crl 


Authority Information Access: 
CA Issuers - URI:http://vasp-e6000-127.china.huawei.com/CertEnro 
lV/vasp-e6000-127.china.huawei.com ca root.crt 
OCSP - URT:file:/N\vasp-e6000-127.china.huawei.com\CertEnroll\v 
asp-e6000-127.china.huawei.com ca root.crt 


1.3.6.1.4.1.311.20.2: 
0lP.S.E.C.Lnte.r.m.e.diat.e.O.fflin.e 
Signature Algorithm: shal WithRSAEncryption ” #-- 本 地 证 书 的 RSA 数字 签名 (由 CA 证 书 私 钥 生 成 ) 
d2:be:a8:52:6b:03:ce:89:f1:$b:49:d4:eb:2b:9f:fd:59:17: 
d4:3c:fl:db:4f:1b:d1:12:ac:bf:ae:$9:b4:13:;1b:8a:20:d0: 
52:6a:f8:a6:03:a6:72:06:41:d2:a7:7d:3f:51:64:9b;84:64: 
cf:ec:4c:23:0a:fl:57:41:53:eb:f6:3a:44:92:f3:ec:bd:09: 
75:db:02:42:ab:89:fa:c4:cd:cb:09:bf:83:1d:de:d$:4b:68: 
8a:a6:Sf:7a:e8:b3:34:d3:e8:ec:24:37:2b:bd:3d:09:ed:88: 
d8:ed:a7:f8:66:aa:6f:b0:fe:44:92:d4:c9:29:21:1c:b3:7a: 
65:51:32:50:5a:90:fa:ae:el:19:5f:c8:63:8d:a8:e7:c6:89: 
2e:6d:c8:5b:2c:0c:cd:41:48:bd:79:74:0e:b8:2f:48:69:df: 
02:89:bb:b3:59:91:7f:6b:46:29:7e:22:05:8c:bb:6a:7e:f3: 
11:Sa:Sf:fb:65:51:7d:35:ff:49:9e:ec:dl:2d:7e:73:e5:99: 
c6:41:84:0c:30:11:ed:97:ed:19:de:11:22:73:a1:78:11:2e: 
34:e6: 全 :de:66:0c:ba:d5:32:afb8:S4:26:4f Sb:9e:89:89: 
2a:3f:b8:96:27:00:c3:08:3a:e9:e8:a6:ce:4b:5$a:e3:97:9e: 
6b:dd:f0:72 


Pki realm name: abc #--- 本 地 证 书 所属 PKI 域 为 abc 
Certificate file name: abc local.cer #--- 本 地 证 书 文件 名 为 abc local.cer 
Certificate peer name: - 
还 可 通过 执行 display pki certificate ca 命令 查看 已 经 导入 内 存 的 CA 证 书 的 内 容 。 
必须 先 成 功 下 载 到 了 CA 证 书 才能 最 后 成 功 申请 本 地 证 书 。 
Router] display pki certificate ca realm abc 
The x509 object type ls certificate: 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
Qc:f0:1a:f3:67:21:44:9a:4a:eb:ec:63:75:5d:d7:5f 
Signature Algorithm: shal WithRSAEncryption 
Issuer: CN=ca root 
Validity 
Not Before: Jun 4 14:58:17 2015 GMT 
Not After : Jun 4 15:07:10 2020 GMT 
Subject: CN=ca root 
Subject Public Key Info: #---CA 证 书 的 公 钥 信 息 
Public Key Algorithm: rsaEncryption 
Public-Key: (2048 bit) 
Modulus: 
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00:d9:5f:2a:93:cb:66:18:59:8c:26:80:db:cd:73: 
d$5:68:92:1b:04:9d:cf:33:a2:73:64:3e:5f:fe:1a: 
$53:78:0e:3d:e1:99:14:aa:86:9b:c3:b8:33:ab:bb: 
76:e9:82:f6:8f:05:cf:f6:83:8e:76:ca:ff:7d:f1: 
be:22:74:5Se:8f:4c:22:05:78:d5:d6:48:8d:82:a7: 
$d:el:4c:a4:a9:98:ec:26:a1:21:07:42:e4:32:43: 
ff:b6:a4:bd:5e:4d:df:8d:02:49:5d:aa:cc:62:6c: 
34:ab:14:b0:f1:58:4a:40:20:ce:be:a5:7b:77:ce: 
a4:1d:52:14:11:fe:2a:d0:ac:ac:16:95:78:34:34: 
21:36:f2:c7:66:2a:14:31:28:dce:7f:7e:10:12:e5: 
6b:29:9a:e8:fb:73:b1:62:aa:7e:bd:05:e5:c6:78: 
6d:3c:08:4c:9c:3f:3b:e0:e9:f2:fd:cb:9a:d1:b7: 
de:]e:84:f4:4a:7d:e2:ac:08:15:09:cb:ee:82:4b: 
6b:bd:c6:68:da:7e:c8:29:78:13:26:e0:3c:6¢c:72: 
39:c5:f8:ad:99:e4:c3:dd:16:b$:2d:7f:17:e4:fd: 
e4:51:7a:e6:86:f0:e7:82:2f:55:d1:6f:08:cb:de: 
84:da:ce:ef:b3:b1:d6:b3:c0:56:50:d5:76:4d:c7: 
1b:75 
Exponent: 65537 (0x10001) 
XS5O09v3 extensions: 
1.3.6.1.4.1.311.20.2: 
-CA 
X509v3 Key Usage: critical 
Digital Signature, Certificate Sign, CRL Sign 
XSO09v3 Basic Constraints: critical 
CA:TRUE 
X509v3 Subject Key Identifier: 


509 


B8:63:72:A4:SE:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C5 


XS09v3 CRL Distribution Pomts: 


Full Name: 


URI:http://vasp-e6000-127.china.huawei.com/CertEnroll/ca root.crl 
URI:file:/M\vasp-e6000-127.china.huawel.com\CertEnroll\ca root.crl 


1.3.6.1.4.1.311.21.1: 


Signature Algonithn. shal WithRSAEncryption ”#---CA 证 书 的 数字 签名 《由 CA 证 书 的 私 钥 自 签名 生成 ) 


$2:21:46:b8:67:c8:c3:4a:e7:f8:cd:el:02:d4:24:a7:ce:50: 
be:33:af:8a:49:47:67:43:f9:7f:79:88:9c:99:f5:87:c9:ff: 
08:0f:f3:3b:de:f9:19:48:e5:43:0e:73:c7:0f:ef:96:ef: Sa: 
Sf:44:76:02:43:83:95:c4:4e:06:5e:11:27:69:65:97:90:4f: 
04:4a:1e:12:37:30:95:24:75:c6:a4:73:ee:9d:c2:de:ea:e9: 
05:c0:a4:fb:39:ec:$c:13:29:69:78:33:ed:d0:18:37:6e:99: 
be:45:0e:a3:95:e9:2c:d8:50:fd:ca:c2:b3:5a:d8:45:82:6e: 
ec:cc:12:a2:35:f2:43:a$:ca:48:61:93:b9:6e:fe:7c:ac:41: 
bf:88:70:57:fe:bb:66:29:ae:73:9c:95:b9:bb:1d:16:f7:b4: 
6a:da:03:df:$6:cf:c7:c7:8c:a9:19:23:61:5b:66:22:6f:7e: 
1d:26:92:69:53:c8:c6:0e:b3:00:ff:54:77:5Se:8a:b5:07:54: 
fd:18:39:0a:03:ac:1d:9f:1f:al:eb:b9:f8:0d:21:25:36:d5: 
06:de:33:fa:7b:c8:e9:60:f3:76:83:bf:63:c6:de:c1:2c:e4: 
$58:b9:cb:48:15:d2:a8:fa:42:72:15:43:ef:$5:63:39:58:77: 


e8:ae:0f:34 
Pki realm name: abc #---CA 证 书 所 属 PKI 域 为 abc 
Certificate file name: abc ca.cer #---CA 证 书 的 文件 名 为 abc_ca.cer 


Certificate peer name: - 


由 于 配置 auto-enroll 命令 时 选择 了 regenerate 可 选项 ， 


区 7 法 / 


更 新 时 系统 会 生成 新 的 RSA 
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密 钥 对 去 申请 新 证 书 ， 而 且 当 系统 检测 到 时 间 已 经 超过 了 配置 的 当前 证 书 有 效 期 的 60% 
之 后 ， 就 会 加 SCEP 服务 器 发 起 证 书 的 更 新 请 求 。 

8.7.2 ”通过 CMPv2 协议 首次 申请 本 地 证 书 配 置 示 例 


本 示例 拓扑 结构 与 上 节 的 一 样 ， 参 见 图 8-7。 某 企业 在 网 络 边 界 处 部 车 了 一 路 由 器 
作为 出 口 网 关 , 用 户 希 望 路 由 器 使 用 CMPv2 协议 向 公 网 上 的 CA 服务 器 在 线 首次 申请 证 
书 ， 申 请 成 功 后 目 动 将 本 地 证 书 下 载 到 设备 的 存储 介质 中 。 





因为 通过 CMPv2 协议 申请 本 地 证 书 的 方法 适用 V200R008C30 及 之 后 版 本 ,所 以 
本 示例 也 适用 于 V200R008C30 及 之 后 版 本 VRP 系统 。 


1. 基本 配置 思路 分 析 

本 示例 要 求 通过 CMPv2 协议 为 设备 首次 申请 本 地 证 书 ， 根 据 8.3.2 节 的 介绍 可 知 ， 
这 种 本 地 证 书 申请 方式 不 能 实现 证 书 的 目 动 安装 〈 但 会 自动 下 载 )， 上 所 以 需要 另外 对 所 下 
载 的 CA 证 书 和 本 地 证 书 进行 安装 。 如 果 还 需要 实现 本 地 证 书 的 目 动 更 新 ， 则 还 需要 按 
8.3.2 节 表 8-11 介绍 的 步骤 进行 配置 。 

本 示例 的 基本 配置 思路 如 下 。 

(1) 在 路 由 器 上 配置 接口 IP 地 址 ， 以 及 到 CA 服务 器 的 静态 路 由 ， 实 现 路 由 器 和 
CA 服务 器 之 间 路 由 互通 。 

(2) 在 路 由 器 上 配置 PKI 实体 信息 ， 实 现 申 请 本 地 证 书 时 携带 PKI 实体 信息 用 来 标 
识 路 由 右 设 备 的 喘 份 。 

(3) 在 路 由 器 上 创建 RSA 密 钥 对 ， 实 现 申 请 本 地 证 书 时 携 市 公 铀 。 

(4) 在 路 由 器 上 通过 CMPv2 协议 首次 申请 本 地 证 书 ， 并 使 用 消息 认证 码 来 验证 消 
上 县， 实现 自动 下 载 CA 和 本 地 证 书 。 此 时 需要 事先 获取 CA 服务 器 上 配置 的 消息 认证 码 
的 参考 值 和 秘密 值 。 

(5) 在 路 由 器 上 安装 CA 和 本 地 证 书 ， 使 两 证 书生 效 。 

(6) 在 路 由 器 上 配置 通过 CMPv2 协议 实现 本 地 证 书 的 自动 更 新 。 





为 完成 本 示例 配置 ， 需 先 准备 好 如 下 数据 。 

e CA 名 称 : 在 CMP 会 话 中 所 指定 的 CA 证 书 名 称 是 指 CA 证 书 中 的 主题 (Subject) 
字段 的 值 ， 而 不 是 像 通过 SCEP 协议 申请 本 地 证 书 中 所 指 的 CA 服务 器 名 称 。 此 处 假设 
为 “C=cn, ST=beijing, L=SD, O=BB, OU=BB, CN=BB 。 配 置 的 CA 名 称 中 各 个 字段 的 顺 
序 必 须要 和 实际 CA 证 书 中 的 顺序 保持 一 致 ， 否 则 服务 器 端 会 认为 是 错误 的 。 

@ 消息 认证 码 的 参考 值 和 秘密 值 : 需要 以 带 外 方式 从 CMP 服务 器 上 获取 ， 此 处 假 
设 分 别 为 “1234” 和 “123456”。 

2. 具体 配置 步骤 

以 上 第 〈1) ~ (3) 的 配置 与 上 节 的 配置 完全 一 样 ， 参 照 即 可 ， 下 面 仅 介绍 后 面 三 
项 任务 的 具体 配置 方法 。 
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(4) 配置 通过 CMP 协议 为 设备 首次 申请 本 地 证 书 ， 可 参见 8.3.2 市 表 8-7 和 表 8-8 
所 示 步 又， 包括 PKI 域 的 创建 与 配置 。 假 设 设备 保存 证 书 时 采用 缺 省 的 PEM 格式 。 
# 创建 与 配置 PKI 域 


[Router] pki realm abc #--- 创 建 一 个 名 为 abc 的 PKI 域 
[Router-pki-realm-abc] ca id ca root  #-- 指 定 信 任 的 CA 服务 器 名 称 ， 假 设 为 ca_root 
[Router-pki-realm-abc] entity user01 ”#--- 指 定 以 上 PKI 域 绑 定 的 实体 名 称 为 user01 
[Router-pki-realm-abc] quit 
# 配置 通过 CMPv2 首次 申请 本 地 证 书 
[Router] pki cmp session cmp #--- 创 建 CMP 会 话 cmp 
[Router-pki-cmp-session-cmp] cmp-request entity user01 #--- 指 定 CMP 会 话 引 用 的 PKI 实体 名 称 
[Router-pki-cmp-session-cmp] cmp-request ca-name "C=cn,ST=beijing,L=SD,O=BB,OU=BB,CN=BB" #-- 配 置 CA 证 
书 的 主题 字段 为 “C=cn,ST=beijing,L=SD,O=BB,OU=BB,CN=BB” 
[Router-pki-cmp-session-cmp] cmp-request server url http:/10.3.0.1:8080 #-- 配 置 访 问 CMP 服务 器 申请 本 地 证 书 的 URL 
[Router-pki-cmp-session-cmp] cmp-request rsa local-key-pair rsa_ cmp regenerate #--- 指 定 申 请 证 书 时 使 用 的 RSA 密 钥 
对 《在 第 3 步 已 创建 )， 并 设置 为 证 书 自动 更 新 时 则 时 更 新 RSA 密 钥 对 
[Router-pki-cmp-session-cmp] cmp-request realm abc #-- 指 定 CMP 服务 器 证 书 所 属 的 PKI 域 
[Router-pki-cmp-session-cmp] cmp-request message-authentication-code 1234 123456 #--- 指 定 首次 申请 证 书 时 使 用 
的 消息 认证 码 的 参考 值 和 秘密 值 分 别 为 “1234”" 和 “123456” 
[Router-pki-cmp-session-cmp] quit 
[Router] pki cmp initial-request session cmp #--- 根 据 CMP 会 话 的 配置 信息 向 CMPv2 服务 器 进行 密 钥 更 新 请 求 
[Router] 
Info: Initializing configuration. 
Info: Creatting initial request packet. 
Info: Connectting to CMPv2 server. 
Info: Sending inltial request packet. 
Info: Waitting for initial response packet. 
Info: Creatting confirm packet. 
Info: Connectting to CMPv2 server. 
Info: Sending confirm packet. 
Info: Waitting for confirm packet from server. 
Info: CMPv2 operation finish. 


通过 以 上 步骤 就 可 以 获取 到 CA 证 书 和 本 地 证 书 了 ， 分 别 被 命名 为 cmp_cal.cer 和 
cmp_ir.cer 保存 在 CF 卡 中 。 

(5) 安装 CA 证 书 和 本 地 证 书 。 

因为 在 通过 CMPv2 协议 申请 本 地 证 书 时 ， 只 会 自动 下 载 CA 证 书 和 本 地 证 书 文件 
到 设备 的 存储 介质 中 ， 不 会 自动 导入 这 些 证 书 到 内 存 中 ， 所 以 还 需要 单独 导入 。 

# 导入 CA 证 书 到 内 存 ， 参 见 8.2.5 节 。 


[Router] pki import-certificate ca realm abc pem filename cmp cal.cer 
The CA's Subject ls /C=cn/ST=beijing/L=BB/O=BB/OU=BB/CN=BB 
The CA's fingerprint is: 
MDS fingerprint:3AC7 $54FD E272 09BE 9008 84EE DIFC 118E 
SHA1 fingerprint:492A 8E0B BED2 BE10 C097 9039 99FE F7E1 9AAS B658 
Is the fingerprint correct?(Y/N):y 
Info: Succeeded in importing file. 


# 导入 本 地 证 书 到 内 存 ， 参 见 8.4.2 节 。 


[Router] pki import-certificate local realm abc pem filename cmp cal.cer 
Info: Succeeded in importing file. 


(6) 配置 本 地 证 书目 动 更 新 功能 ， 参 见 8.3.2 节 表 8-11 所 示 的 步骤 。 
# 配置 设备 用 于 证 明 上 自己 身份 的 证 书 ， 也 是 待 更 新 的 证 书 cmp ir.cer。 


[Router] pki cmp session cmp 
[Router-pki-cmp-session-cmp] cmp-request authentication-cert cmp ir.cer 
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# 开局 证 书目 动 更 新 的 功能 。 

[Router-pki-cmp-session-cmp] certificate auto-update enable 

# 配置 当前 系统 时 间 超 过 证 书 有 效 期 的 60% 时 开始 更 新 证 书 。 

[Router-pki-cmp-session-cmp] certificate update expire-time 60 

[Router-pki-cmp-session-cmp] quit 

3. 配置 结果 验证 

通过 以 上 配置 就 可 成 功 下 载 CA 证 书 和 本 地 证 书 ， 并 且 已 导入 设备 的 本 地 内 存 中 ， 
可 执行 display pki certificate local 命令 得 看 已 经 寻 入 内 存 的 本 地 证 书 的 内 容 。 


[Router] display pki certificate local filename cmp ir.cer 


The x509 obj type is Cert: #--- 以 下 显示 的 是 本 地 证 书 基本 信息 
Certificate: 
Data: 


Version: 3 (0x2) 
Serial Number: 1144733510 (0x443b3f46) 
Signature Algorithm: shal WithRSAEncryption 
Issuer: C=cn, ST=beijing, L=BB, O=BB, OU=BB, CN=BB 
Validity 
Not Before: Jun 12 09:33:10 2012 GMT 
Not After : Aug 13 02:38:27 2016 GMT 
Subject: C=CN, ST=jiangsu, O=huawei, OU=info, CN=hello 
Subject Public Key Info: ”#--- 以 下 显示 的 是 本 证 书 的 公 钥 信息 
Public Key Algorithm: rsaEncryption 

Public-Key: (2048 bit) 

Modulus: 
00:d3:12:fe:57:48:c6:a$:10:12:e9:2f:f9:2a:ff: 
7b:2a:d8:45:69:11:c4:85:30:c4:9a:4d:0f:ad:58: 
e7:56:cd:Sc:f0:18:el:c3:6d:44:c2:c3:5e:64:22: 
dl1:28:c9:c3:37:3c:34:ed:28:04:7f:62:9e:8b:94: 
af:bce:72:de:f6:72:7f:e4:d8:45:31:fd:f9:ac:ce: 
$a:b9:c7:1b:23:53:00:28:a6:3b:f5:61:69:5d:ab: 
67:cb:bb:e8:96:2f:ce:ab:2c:6b:91:5b:26:91:86: 
8f:80:a9:b0:66:c1:16:3d:31:55:a2:d4:b$:5a:af: 
85:88:6e:99:f8:f8:53:58:77:26:91:ed:0e:94:ad: 
c5:8d:53:67:67:55:08:8d:90:38:e0:5e:96:37:b9: 
64:0e:36:e7:cf:9a:d2:77:e4:b0:24:05:a6:eb:03: 
6e:ff:f7:ab:be:93:9e:8c:66:7d:31:66:be:6d:c8: 
f3:17:9d:86:19:88:21:2d:d9:69:86:5f:b2:55:a4: 
db:bc:d7:d0:6b:ac:66:ac:e4:63:9c:66:79:9c:42: 
Sc:83:b8:9e:4b:6e:67:85:a2:47:19:f1:5Sc:c0:3c: 
c9:a3:47:02:a8:53:69:59:9e:d9:c7:5e:90:83:8d: 
ac:cd:21:3c:d5:31:39:49:84:e6:f8:f4:e0:44:dd: 
$d:7b 

Exponent: 65537 (0x10001) 

XSO9v3 extensions: 
XSO09v3 Subject Alternative Name: 
IP Address:128.18.196.208, DNS:test.abc.com 
Signature Algorithm: shal WithRSAEncryption  #-- 以 下 是 本 地 证 书 经 CA 证 书 公 钥 进行 的 签名 
$53:d5:79:31:7b:40:52:aa:ec:a9:35:ed:07:62:32:c4:ce:22: 
d3:37:0e:83:0c:4c:fa:61:dd:8c:db:a8:d3:fd:6a:ca:0e:3c: 
91:2c:91:ab:92:31:34:b5:87:1e:30:a4:ff:94:9c:d2:71:3c: 
6b:1f:4f:be:a7:20:f2:el:c2:ad:71:8b:c2:79:0f:50:1f:3c: 
f9:87:df:1d:ee:3d:38:8c:f3:30:b7:3b:00:9b:72:38:b0:68: 
el1:c0:08:f4:02:91:81:a8:fa:$51:9e:53:0d:03:b3:6b:0e:e2: 
62:80:ef:2a:a0:cb:9b:9b:91:21:7c:df:fe:6a:38:cc:03:36: 
9c:fe 
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Pki realm name: abc #---- 显 示 证 书 所 属 的 PKI 域 为 abc 
Certificate file name: cmp ir.cer #---- 显 示 本 地 证 书 名 称 
Certificate peer name: - 
还 可 执行 display pki certificate ca 命令 查看 已 经 导入 到 内 存 的 CA 证 书 的 内 容 。 
[Router] display pki certificate ca filename cmp cal.cer 
The x509 object type is certificate: #--- 以 下 显示 的 是 CA 证 书 的 基本 信息 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 2 (0x2) 
Signature Algorithm: shal WithRSAEncryption 
Issuer: C=cn, ST=beijing, L=BB, O=BB, OU=BB, CN=BB 
Validity 
Not Before: Aug 15 02:38:27 2011 GMT 
Not After : Aug 13 02:38:27 2016 GMT 
Subject: C=CN, ST=jiangsu, O=huawei, OU=info, CN=hello 
Subject Public Key Info: #--- 以 下 显示 的 是 CA 证 书 的 公 钥 信息 
Public Key Algorithm: rsaEncryption 
Public-Key: (1024 bit) 
Modulus: 
00:b7:3e:65:7f3b:3c:18:b8:87:34:39:76:3c:87: 
39:f7:a9:b3:35:9b:e0:e0:5b:c7:4f:3c:bb:fa:dd: 
da:93:0b:55:6e:eb:ba:52:c8:86:d1:cf:14:1e:1c: 
35:c6:53:68:f3:51:e7:2c:d4:b8:fa:0f:b3:04:ef: 
3f:a0:b3:4d:78:c1:26:88:26:15:41:3d:14:7f:67: 
3e:2f°35:32:ce:c71;13:713:43:Sc:12:d3:0f.:a0:ec: 
06:ae:55:61:27:32:39:a4:f8:32:a1:68:50:e6:3d: 
2b:39:6d:42:e8:09:5d:4f:98:46:6e:fc:80:87:0e: 
36:ca:09:7a:ca:2f:dd:ad:d3 
Exponent: 65537 (0x10001) 
XSO9v3 extensions: 
X509v3 Basic Constraints: critical 
CA:TRUE 
XSO9v3 Subject Key Identifier: 
4F:67:F4:CB:F4:C3:F7:61:2C:BD:FF:1D:D1:29:FD:39:28:9F:3B:8B 
X509v3 Key Usage: 
Certificate Sign, CRL Sien 
Netscape Cert Type: 
SSL CA, S/MIME CA, Object Signing CA 
Netscape Comment: 
xca certificate 
Signature Algorithm: shal WithRSAEncryption  #-- 以 下 是 由 自己 的 公 钥 进行 的 签名 
75:43:24:eb:db:ee:7d:05:30:88:b8:1b:d$:32:ca:51:49:74: 
04:94:fe:d0:31:29:6f:72:c7:4a:86:ac:2a:4c:45:24:9d:3c: 
b4:30:b$:d1:43:88:29:f7:b4:88:b8:37:dc:dd:f4:fa:42:34: 
lc:e6:a$:be:bb:0b:37:ef:db:8c:b2:b0:bd:97:7f:15:ae:6c: 
71:1b:ff:f1:90:13:74:a4:1f:7c:f7:4e:80:5b:42:aa:6b:22: 
2a:cf:04:48:29:20:c0:b2:95:38:11:06:be:76:f0:cb:8d:4a: 
c6:1a:$50:af:31:81:58:ac:14:fe:89:f2:e0:bb:95:3c:94:d0: 
$54:96 


Pki realm name: abc 
Certificate file name: cmp cal.cer 
Certificate peer name: - 


配置 证 书 自动 更 新 功能 后 ， 当 系统 检测 到 时 间 已 经 超过 了 配置 的 当前 证 书 有 效 期 的 
60% 之 后 ， 就 会 问 CMPv2 服务 器 发 起 证 书 的 更 新 请 求 。 由 于 配置 cmp-request rsa local- 
key-pair 命令 时 选择 了 regenerate 可 选项 ， 更 新 时 系统 会 生成 新 的 RSA 密 钥 对 去 申请 新 的 
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本 地 证 书 ， 申 请 下 来 的 新 证 书 会 同时 替换 存储 介质 中 的 证 书 文件 和 内 存 中 对 应 的 本 地 证 书 。 
8.7.3 ”离线 申请 本 地 证 书 配置 示例 


如 图 8-8 所 示 ， 茶 企业 在 网 络 边界 处 部 团 了 路 由 器 作为 出 口 网 关 ， 路 由 器 需要 向 公 
网 上 的 CA 服务 器 申请 本 地 证 书 。 但 用 户 无 法 通过 SCFP 协议 在 线 向 CA 申请 本 地 证 书 ， 
所 以 打算 通过 带 外 方式 为 路 由 器 离线 申请 本 地 证 书 。 





本 示例 的 CA 服务 器 以 Windows Server 2008 自 带 的 “证 书 服务 ”， 并 安装 了 SCEP 


插件 。 


路 由 器 CA 服务 器 


10.3.0.1 






GE1/0/1 
10.2.0.2/24 











GE1/0/2 
10.1.0.2/24 





图 8-8 离线 申请 本 地 证 书 配置 示例 的 拓扑 结构 


. 基本 配置 思路 分 析 

ee 需要 先 在 设备 本 地 创建 本 地 证 书 申请 文件 ， 然 
后 通过 离线 方式 把 本 地 证 书 申请 文件 发 给 CA 服务 器 来 获取 本 地 证 书 。 基 本 的 配置 思路 
如 下 (具体 配置 步骤 参见 8.3.3 节 )。 

(1) 在 路 由 器 上 配置 接口 IP 地 址 ， 以 及 到 CA 服务 器 的 静态 路 由 ， 实 现 路 由 器 和 
CA 服务 器 之 间 路 由 互通 。 

(2) 在 路 由 器 上 配置 PKI 实体 信息 ， 实 现 申请 本 地 证 书 时 携带 PKI 实体 信息 用 来 标 
识 路 由 器 设备 的 身份 。 

(3) 在 路 由 器 上 创建 RSA 密 钥 对 ， 实 现 申请 本 地 证 书 时 携带 公 钥 。 

(4) 在 路 由 器 上 配置 离线 申请 本 地 证 书 的 请 求 文件 ， 包 括 PKI 域 配置 。 

(5) 通过 带 外 方式 〈 如 磁盘 复制 、 电 子 邮件 等 ) 发 送 本 地 证 书 请 求 文件 来 申请 本 地 
证 书 ， 并 通过 带 外 方式 下 载 本 地 证 书 。 

(6) 安装 本 地 证 书 ， 使 得 设备 可 以 使 用 证 书 来 保护 通信 。 

2. 具体 配置 步骤 

以 上 第 (1) 一 (3) 的 配置 与 8.7.1 节 的 配置 完全 一 样 ， 参 照 即 可 ， 下 面 仅 介绍 后 
面 三 项 任务 的 具体 配置 方法 。 

(4) 在 路 由 器 上 配置 离线 申请 本 地 证 书 的 请 求 文件 。 要 事先 创建 好 PKI 域 〈 绑 定好 
PKI 实体 )， 配 置 好 PKI 实体 信息 。 

# 创建 与 配置 PKI 域 


[Router] pki realm abc #--- 进 入 PKI 域 abc 

[Router-pki-realm-abc] entity user01 #--- 绑 定 要 申请 本 地 证 书 的 PKI 实体 
[Router-pki-realm-abc] rsa local-key-pair rsakey #--- 指 定 用 于 申请 本 地 证 书 的 RSA 密 钥 对 
[Router-pki-realm-abc] quit 
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# ”配置 离线 申请 本 地 证 书 
仅 配置 8.3.3 节 表 8-12 所 示 的 必 选 配置 步骤 , 其 中 PKI 实体 和 RSA 密 钥 对 的 绑 定 已 
在 PKI 域 的 配置 中 完成 了 ， 下 面 仅 创建 一 个 用 于 离线 申请 本 地 证 书 的 请 求 文件 。 其 他 可 
选 配置 任务 均 采 用 缺 省 配置 。 


[Router] pki enrolli-certificate realm abc pkcs10 flename cer req#-- 在 abc PKI 域内 创建 名 为 cer req 的 本 地 证 书 申请 请 求 文件 
Info: Creating certificate request file... 


Info: Create certificate request file successfully. 


以 上 配置 完成 后 ， 可 执行 display pki cert-req 命 


的 内 容 。 


[Router] display pki cert-req filename cer req 
Certificate Request: 


Version: 0 (0x0) 
Subject: C=CN, ST=jiangsu, O=huawel OU=info, CN=hello 
Subject Public Key Info: 


Public Key Algorithm: rsaEncryption 
Public-Key: (2048 bit) 
Modulus: 


00:a2:db:e3:30:17:8e:f6:2d:2e:64:15:46:51:ad: 
70:86:dd:32:c4:bb:6b:58:3a:8c:5f:a0:06:al:el: 
$6:2e:a4:eb:7e:12:06:05:04:28:b2:6d:64:7a:9c: 


4f:85:24:c1:aa:b8:99:dc:e9:bb:c4: 1e:e2:9d:a0: 
18:51:1f:ad:b$:2f:60:18:06:8b:cl:cce:6f:32:58: 
f2:21:2c:16:e8:29:c2:a8:c5:aa:9d:6c:1e:ca:14: 
fc:7a:e9:bc:07:91:ce:ed:a0:c0:52:d9:0c:e9:ba: 
9b:64:43:e0:9a:3f:c$5:d1:2c:86:36:96:6b:4b:4f: 
d4:df:05:d0:4b:41:2c:ec:0a:d7:0e:45:83:ed:cd: 
07:78:40:ed:d5:3d:7f:fe:0f:08:90:04:2e:ac:e5: 
42:b9:81:ea:ec:77:e2:cc:04:6e:e4:63:9f:69:ed: 
60:06:5e:c7:e8:bf:30:57:6a:5d:e0:46:68:d3:ee: 


b0:da:47:24:e3:b6:a5:f3:20:d8:5a:75:92:70:c2: 


a9:a6:97:07:07:0d:1c:94:9a:03:6f:f7:8c:db:6f: 
b7:06:de:51:50:9e:71:fd:86:f3:b5:c9:99:05:bf: 
f1:10:20:28:d3:a6:29:3d:e0:f4:a7:ba:1e:27:85: 
a9:606:fc:a9:90:49:f0:35:f7:d9:6d:06:a2:43:3f: 
18:87 

Exponent: 65537 (0x10001) 


Attributes: 
Requested Extensions: 


X509v3 Subject Alternative Name: 


令 碍 看 已 创建 的 本 地 证 书 请 求 文件 


IP Address:10.2.0.2, DNS:test.abc.com, email:user(@test.abc.com 


Signature Algorithm: sha256WithRSAEncryption 


Qe:0a:a$:b7:d5:54:11:10:c4:ea:ff:77:da:f9:24:4b:a9:98: 
al:75:36:08:10:59:60:fa:1a:30:70:2c:b7:f6:5f:5e:31:b7: 
$5:a$:7a:26:e5:af:4a:cd:83:c5:f3:90:f3:b9:d5:f9;0a:6d: 
6e:8£f:25:b4:ed:95:9c:75:a$:d7:b6:25:fec:8d:39:89:fb:af: 
37:fc:01:7b:09:07:9c:96:7c:fa:28:6d:e2:11:49:a7:95:94: 
ed:26:5b:ca:f8:98:b0:e7:64:7e:dd:2d:75:ff:89:03:b7:0a: 


92:53:25:d4:a1:23:b9:5c:eb:5b:29:1d:8a:92:8f:36:68:7b: 


77:32:bc:48:92:48:84:fa:87:5a:d7:2e:3e:be:d5:6b:e4:df: 
b1:f2:02:35:91:6a:eb:cd:fec:5a:ea:37:85:6c:12:74:5f:a5: 


Sc:c0:05:09:cd:34:59:0d:c6:c8:75:ca:1c:18:d6:48:e5:4b: 


e€7:8e:e3:ff:25:99:0f:2e:a8:b4:c5:8e:4d:8f:dd:64:c5: 1f: 
61:3c:58:21:4f:d5:35:ba:c8:8e:Sf:76:41:9f:27:41:0a:94: 
$59:2c:59:25:2d:de:60:5c:92:07:ac:8a:a5:7a:ba:75:af:2c: 
82:5f:bb:55:a8:48:49:54:0f:99:54:af:8d:12:4d:4b:7d:8b: 
95:28:ce:dc 
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(5) 本 地 证 书 申请 请 求 文件 创建 好 后 ， 通 过 Web、 磁 盘 、 电 子 邮件 等 带 外 方式 将 证 
书 申请 文件 及 送 给 CA 服务 右 ， 同 CA 服务 器 申请 本 地 证 书 。 本 地 证 书 注册 成 功 后 ， 可 
以 通过 带 外 方式 下 载 本 地 证 书 abc local.cer。 

(6) 安装 本 地 证 书 。 本 地 证 书 下 载 后 ， 可 以 通过 文件 传输 协议 导入 到 设备 的 存储 介质 中 。 


[Router] pki import-certificate local realm abc pem filename abc local.cer 
Info: Succeeded in importing file. 


3. 配置 结 采 验证 
以 上 配置 完成 后 ， 可 在 路 由 器 上 执行 display pki certificate local 命令 查看 已 经 导入 
内 存 的 本 地 证 书 的 内 容 。 


[Router] display pki certificate local realm abc 
The x509 object type ls certificate: 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
48:65:aa:2a:00:00:00:00:3f:c6 
Signature Algorithm: shal WithRSAEncryption 
Issuer: CN=ca root 
Validity 
Not Before: Dec 21 11:46:10 2015 GMT 
Not After : Dec 21 11:56:10 2016 GMT 
Subject: C=CN, ST=]jiangsu, O=huawei, OU=info, CN=hello 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 
Public-Key: (2048 bit) 
Modulus: 
、00:94:6f:49:bd:6a:f3:d5:07:ee:10:ee:4f:d3:06;: 
80:59:15:cb:a8:0a:b2:ba:c2:db:52:ec:e9:d1:a7: 
72:de:ac:35:df:bb:e0:72:62:08:3e:c5:54:c1:ba: 
4a:bb:1b:a9:d9:dc:e4:b6:4d:ca:b3:54:90:b6:8e: 
15:a3:6e:2d:b2:9e:9e:7a:33:b0:56:3frec:be:67: 
1c:4c:59:;c6:67:0f:a7:03:52:44:8c:53:72:42:bd: 
6e:0c:90:5b:88:9b:2c:95:f7:b8:89:d1:c2:37:3e: 
93:78:fa:cb:2c:20:22:5fre5:90:61:23:7b:cOQ:e9: 
fe:b7:e6:9c:al:49:0b:99:ef:16:23:e9:44:40:6d: 
94:79:20:58:d7:el:51:al:a6:4b:67:44:f7:07:71: 
$4:93:4e:32:ff:98:b4:2b:fa:$d:b2:3c:5b:df:3e: 
23:b2:8a:1a:75:7e:8f:82:58:66:be:b3:3c:4a:1c: 
2c:64:d0:3f:47:13:d0:5a:29:94:e2:97:dc:f2:d1: 
06:c9:7e:54:b3:42:2e:15:b8:40:f3:94:d3:76:al: 
91:66:dd:40:29:c3:69:70:6d:5a:b7:6b:91:87:e8: 
bb:cb:a$:7e:ec:a$:31:11:f3:04:ab:1a:ef:10:e6: 
fl:bd:d9:76:42:6c:2e:bf:d9:91:39:1d:08:d7:b4: 
18:53 
Exponent: 65537 (0x10001) 
和 3S09V3 extensions: 
X509v3 Subject Alternative Name: 
IP Address:10.2.0.2, DNS:test.abc.com, email:user(@test.abc.com 
X509v3 Subject Key Identifier: 
15:D1:F6:24:EB:6B:C0:26:19:58:88:91:8B:60:42:CE:BA:D5:4D:F3 
X509v3 Authority Key Identifier: 
keyid:B8:63:72:A4:5E:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C5 


X509v3 CRL Distribution Points: 
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Full Name: 
URI:file:/M\vasp-e6000-127.china.huawei.com\CertEnroll\ca root.crl 
URI:http://10.3.0.1:8080/certenroll/ca_ root.crl 


Authority Information Access: 
CA Issuers - URI:http://vasp-e6000-127.china.huawei.com/CertEnro 
l/vasp-e6000-127.china.huawei.com ca root.crt 
OCSP - URI:file:/M\vasp-e6000-127.china.huawei.com\CertEnroll\v 
asp-e6000-127.china.huawei.com ca root.crt 


1.3.6.1 .4.1.311.20.2: 
OLPSECLIntermediateOfflin.e 
Signature Algorithm: shal WithRSAEncryption 
d2:be:a8:52:6b:03:ce:89:f1:5b:49:d4:eb:2b:9f:fd:59:17: 
d4:3c:f1l:db:4f:1b:d1:12:ac:bf:ae:59:b4:13:1b:8a:20:d0: 
$2:6a:f8:a6:03:a6:72:06:41:d2:a7:7d:3f:$1:64:9b:84:64: 
cf:ec:4c:23:0a:fl:57:41:53:eb:f6:3a:44:92:f3:ec:bd:09: 
75:db:02:42:ab:89:fa:c4:cd:cb:09:bf:83:1d:de:d5:4b:68: 
8a:a6:Sf:7a:e8:b3:34:d3:e8:ec:24:37:2b:bd:3d:09:ed:88: 
d8:ed:a7:f8:66:aa:6f:b0:fe:44:92:d4:c9:29:21:1c:b3:7a: 
65:51:32:50:5a:90:fa:ae:el:19:5f:c8:63:8d:a8:e7:c6:89: 
2e:6d:c8:5b:2c:0c:cd:41:48:bd:79:74:0e:b8:2f:48:69:df: 
02:89:bb:b3:59:91:7f:6b:46:29:7e:22:05:8c:bb:6a:7e:f3: 
11:5a:Sf:fb:65:51:7d:35:ff:49:9e:ec:d1:2d:7e:73:e5:99: 
c6:41:84:0c:50:11:ed:97:ed:15:de:11:22:73:al:78:11:2e: 
34:e6:f5:de:66:0c:ba:d$:32:af:b8:54:26:4f:5b:9e:89:89: 
2a:3f:b8:96:27:00:c3:08:3a:e9:e8:a6:ce:4b:5$a:e3:97:9e: 
6b:dd:f0:72 


Pki realm name: abc 
Certificate file name: abc_ local.cer 
Certificate peer name: - 


8.8 典型 故障 排除 


在 PKI 的 配置 和 应 用 中 ， 可 能 出 现 的 两 种 典型 故障 是 : CA 证 书 获取 失败 和 本 地 证 
书 获取 失败 。 这 两 种 情形 的 故障 分 析 都 要 从 8.1.5 节 介 绍 的 PKI 机 制 来 分 析 。 


8.8.1 CA 证 书 获取 失败 的 故障 排除 


获取 CA 证 书 的 目的 有 两 个 : 一 个 是 验证 CA 的 合法 性 (通过 与 事先 获取 的 CA 证 
书 数字 指纹 进行 比较 得 出 ); 另 一 个 是 获取 CA 的 公 钥 , 然后 用 公 钥 对 所 发 送 的 本 地 证 书 
申请 消息 进行 加 密 。 所 以 ，CA 证 书 必须 是 在 发 送 本 地 证 书 申请 消息 之 前 获取 到 ， 与 本 
地 证 书 申请 注册 消息 无 关 。 这 一 点 也 可 以 从 8.1.5 节 图 8-4 所 介绍 的 PKI 工作 机 制 中 得 出 。 
但 CA 证 书 如 果 获 取 失 败 ， 则 本 地 证 书 一 定 不 能 成 功 获取 。 
CA 证 书 的 获取 有 两 种 方式 : 一 是 通过 SCEP 协议 或 者 CMPv2 协议 申请 本 地 证 书 的 
过 程 中 自动 获取 ; 二 是 通过 HTTP 或 者 LDAP 协议 手动 获取 。 但 无 论 是 哪 种 方式 ，CA 
证 书 的 获取 均 与 设备 所 发 送 的 本 地 证 书 申请 消息 无 关 。 下 面 分 别 介绍 手动 方式 和 自动 方 
ee 
.手动 方式 获取 CA 证 书 失败 的 故障 排除 
通过 手工 方式 获取 CA 证 书 时 ， 如 果 查 看 设备 存储 介质 中 没有 下 载 到 CA 证 书 ， 其 
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失败 的 原因 为 通过 HTTP 或 LDAP 方 式 下 载 CA 证书 时 的 pki http [esc ] url-address save- 
name 或 pki ldap ip ip-address port port version version [ attribute attr-value ] [ authentication 
1dap-dn Idap-password ] save-name dn dn-value 命令 未 配置 或 配置 不 正确 。 具 体 参 见 8.2.4 节 。 

2.， 自动 方式 获取 CA 证 书 失 败 的 故障 排除 

通过 SCEP 或 CMPv2 协议 获取 CA 证 书 时 ， 如 果 发 现 设备 存储 介质 中 没有 下 载 到 
CA 证 书 ， 其 失败 的 原因 通常 如 下 。 

(1) 指定 的 PKI 实体 未 配置 

设备 要 从 CA 服务 器 上 获取 CA 证 书 ， 首 先 要 上 自己 配置 好 用 来 唯一 标识 目 己 的 PKI 
实体 信息 ， 否 则 CA 服务 器 无 法 识别 PKI 实体 。 

(2) PKI 域 未 创建 

PKI 域 与 PKI 实体 有 一 个 绑 定 关系 , 而 且 像 通过 SCEP 协议 申请 本 地 证 书 的 过 程 中 ， 
绝 大 多 数 配 置 都 是 基于 PKI 域 配置 的 ， 在 通过 CMPv2 协议 申请 本 地 证 书 时 也 需要 指定 
PKI 域 。 如 果 PKI 域 都 没有 配置 ， 则 包括 像 绑 定 PKI 实体 、 信 任 CA、 数 字 指 纹 等 许多 
配置 都 无 法 完成 。 

(3) PKI 域 中 未 配置 RSA 密 钥 对 

虽然 在 获取 CA 证 书 的 过 程 中 并 不 需要 RSA 密 钥 对 参与 ,但 一 定 要 先 创建 好 ， 并 在 
PKI 域 中 进行 指定 ， 和 否则 CA 服务 器 就 会 认为 PKI 实体 不 符合 申请 本 地 证 书 的 条 件 ， 目 
然 就 会 进行 响应 了 ， 包 插 不 会 四 PKI 发 送 CA 证 书 。 

(4) 在 PKI 域 中 信任 的 CA 名 称 配置 不 正确 或 未 配置 。 

必须 信任 对 应 的 CA 服务 器 ， 该 服务 器 才 会 把 CA 证 书 发 给 PKI 实体 。 

(5) 获取 CA 证 书 的 URL 配置 不 正确 或 未 配置 

访问 CA 服务 器 的 URL 地 址 未 配置 或 配置 不 正确 , 目 然 不 能 从 指定 CA 服务 右上 获 
取 到 它 的 CA 证 书 。 

(6) CA 证 书 的 数字 指纹 信息 配置 不 正确 或 未 配置 

设备 从 CA 服务 器 上 下 载 到 CA 证 书后 还 要 进行 数字 指纹 比 对 ， 就 是 先 用 与 CA 服 
务 器 上 指定 的 相同 哈 希 算 法 进行 哈 希 运算 ,看 结果 是 否 与 事先 从 CA 服务 器 获取 并 在 PKI 
域 中 配置 的 数字 指纹 一 致 。 如 果 不 一 致 ， 则 设备 会 丢弃 该 CA 证 书 ， 目 然 不 能 在 存储 介 
质 上 看 到 CA 证 书 了 。 

(7) 设备 与 CA 服务 器 进行 TCP 连接 所 使 用 的 源 接口 配置 不 正确 

设备 要 从 CA 服务 器 上 获取 证 书 , 至 少 要 保证 它们 的 路 径 是 畅通 的 。 除了 路 由 之 外 ， 
设备 与 CA 服务 器 之 间 还 要 建立 用 于 SCEP 或 CMP 协议 与 CA 服务 器 交互 的 TCP 连接 。 
缺 省 情况 下 源 接口 可 以 不 用 配置 ， 直 接 使 用 报 文 的 出 接口 ， 但 如 果 你 改变 了 出 接口 ， 则 
一 定 要 确保 从 该 源 接口 能 到 达 CA 服务 器 。 

具体 的 故障 排除 步骤 如 下 。 

(1) 首先 在 系统 视图 下 执行 pki get-certificate ca realm realm-name 命令 手动 从 CA 服务 
器 获取 CA 证 书 。 执 行 该 命令 后 ， 当 申请 CA 证 书 相关 配置 不 全 时 ， 会 提示 配置 相应 的 内 容 。 

(2) 如 果 通 过 上 一 步 手 动 获取 CA 证 书 不 成 功 ， 则 要 检查 PKI 域 下 配置 的 中 请 CA 
证 书 的 相关 配置 是 否 正 确 。 

可 在 任意 视图 下 执行 display pki realm 命令 或 者 在 PKI 域 视图 下 执行 display this 
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命令 检查 以 上 配置 。 如 果 相 关 配 置 不 正确 ， 请 修改 相应 的 内 容 。 
8.8.2 ”本 地 证 书 获取 失败 的 故障 排除 


本 节 介 绍 的 仅 是 本 地 证 书 获取 失败 (CA 证 书 已 成 功 获取 ) 的 原因 ， 不 包括 上 市 介 
绍 的 CA 证 书 获取 失败 的 情况 。 因 为 如 果 CA 证 书 都 获取 失败 ， 本 地 证 书 肯定 获取 失败 ， 
所 以 本 节 所 做 的 故障 原因 分 析 是 基于 上 节 所 介绍 的 因素 全 部 配置 正确 的 情况 。 

本 地 证 书 获 取 也 有 手工 方式 和 目 动 方式 之 分 ， 下 面 分 别 介绍 。 

1. 手工 方式 获取 本 地 证 书 失败 的 故障 排除 

通过 手工 方式 离线 获取 本 地 证 书 时 〈 人 参见 8.3.3 节 )， 如 果 碍 看 设备 存储 介质 中 没有 下 
载 到 本 地 证 书 , 其 失败 的 原因 可 能 包括 (已 排除 会 同时 导致 CA 证 书 获取 失败 的 因素 ) 如 下 。 

(1) 挑战 密码 配置 不 正确 或 未 配置 

如 果 CA 服务 器 上 配置 了 挑战 密码 , 则 必须 在 PKI 域 中 通过 pki enroll-certificate realm 
realm-name [ pkcs10 [ filename filename ] ] [ password password ] 命 令 配 置 相同 的 挑战 密码 。 

(2) 通过 HTTP 或 LDAP 方式 下 载 本 地 证 书 的 配置 不 正确 

这 两 种 下 载 方式 分 别 需 要 检查 pki http [ esc ] url-address save-name 或 pki ldap ip ip- 
address port port version version [ attribute attr-value | [ authentication ldap-dn {ldap- 
password ] save-name dn dn-value 命令 中 的 相关 配置 。 

2. 自动 方式 获取 本 地 证 书 失败 的 故障 排除 

通过 SCEP 或 CMPv2 协议 获取 本 地 证 书 时 ， 如 果 人 三 看 设备 存储 介质 中 没有 下 载 到 
本 地 证 书 ， 其 失败 的 原因 如 下 : 

e CA 证 书 没有 安装 ; 

e。 使 用 的 RSA 密 钥 对 未 配置 ; 

。 签名 证 书 注册 请 求 消息 使 用 的 摘要 算法 配置 不 正确 

。 挑战 密码 配置 不 正确 或 未 配置 ; 

。 通过 CMPv2 协议 首次 申请 本 地 证 书 时 ， 消 息 认 证 码 的 参考 值 和 秘密 值 配置 不 正 
确 或 未 配置 ; 

。 通过 CMPv2 协议 首次 申请 本 地 证 书 时 ， 用 于 证 明 身 份 的 证 书 配置 不 正确 。 

有 具体 的 故障 排除 步骤 如 下 。 

(1) 检查 CA 证 书 是 否 已 导入 设备 的 内 存 中 

执行 display pki certificate ca realm realm-name 命令 查看 设备 内 存 中 的 CA 证 书 。 
如 条 没有 ， 则 可 执行 pki import-certificate ca realm realm-name { der | pkcs12 | pem } 命 
令 将 CA 证 书 (假设 已 获取 了 CA 证 书 ) 导入 到 设备 的 内 存 中 。 

(2) 检查 配置 的 PKI 实体 配置 是 否 正 确 

在 任意 视图 下 执行 display pki realm 命令 ,或 者 在 PKI 域 下 执行 display this 命令 查 
看 通过 SCEP 协议 申请 本 地 证 书 时 的 以 上 PKI 域 配置 。 如 果 相 关 配 置 不 正确 ， 请 修改 相 
应 的 内 容 ， 参 见 8.3.1 市。 

或 者 ， 在 CMP 会 话 视 图 下 执行 display this 命令 查看 通过 CMPv2 协议 申请 本 地 证 
书 的 以 上 CMP 会 话 配置 。 如 果 相 关 配 置 不 正确 ， 请 修改 相应 的 内 容 ， 参 见 8.3.2 节 。 
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SSL VPN( Secure Sockets Layer VPN, 安全 套 接 字 层 VPN ) 是 一 种 结合 PKI、 HTTPS、 
SSL 多 种 安全 协议 的 远程 安全 接 入 VPN 技术 ， 可 为 移动 办 公用 户 以 Web 方式 通过 公 网 
(如 Internet ) 实现 端 到 站 点 ( End-to-Site ) 的 企业 网 络 安 全 访问 ， 适用 以 任意 方式 接 入 公 
网 的 远程 终端 用 户 。 但 这 种 对 远程 网 络 资源 的 Web 访问 不 是 直接 的 ， 而 是 需要 通过 中 间 
担当 SSL VPN 网 关 (通常 是 企业 网 络 公 网 边缘 设备 ) 进行 代理 或 转发 ， 在 远程 终端 用 户 
与 SSL VPN 网 关 之 间 建立 SSL 隧道 ， 并 通过 数字 证 书 、 密 钥 为 远程 网 络 访问 提供 包括 
数据 加 密 、 身 份 验证 、 数 据 完整 性 验证 等 一 整套 安全 保护 。 

在 第 8 章 我 们 已 对 为 设备 获取 本 地 数字 证 书 的 PKI 技术 进 行 了 全 面 、 深 入 的 介绍 ， 
已 成 功 为 SSL VPN 网 关 设 备 从 CA 服务 器 获取 到 了 本 地 证 书 。 接 下 来 的 工作 还 有 两 个 方 
面 : 一 方面 是 把 SSL VPN 网 关 配 置 为 HTTPS 服务 器 ， 以 实现 远程 用 户 以 安全 Web 方式 
访问 SSLVPN 网 关 的 Web 页 面 (在 这 个 Web 页 面 中 列 出 了 远程 用 户 可 以 访问 的 企业 内 
网 资源 ), 在 HTTPS 服务 器 的 配置 中 , 首先 需要 用 到 SSL 协议 为 HTTPS 服务 器 配置 SSL 
服务 器 策略 ,而 SSL 服务 器 策略 又 需要 用 到 前 面 通过 PKI 获取 的 本 地 证 书 。 另 一 方面 是 
要 把 SSL VPN 设 备 配置 成 虚拟 网 关 , 在 虚拟 网 关上 配置 对 远程 用 户 进行 身份 认证 的 AAA 
认证 方案 ， 同 时 还 要 配置 用 于 远程 用 户 访问 的 各 类 企业 内 网 资源 。 

本 章 首 先 要 向 大 家 介绍 的 就 是 SSL 服务 器 策略 、HTTPS 服务 器 ， 以 及 SSL VPN 的 
具体 配置 方法 ， 然 后 介绍 SSL 服务 器 策略 、HTTPS 服务 器 以 及 不 同情 形 下 的 多 个 SSL 
VPN 的 配置 示例 。 


9.1 SSLVPN 基础 
在 SSL VPN 的 配置 中 就 会 同时 涉及 HTTPS 服务 器 、SSL 策略 方面 的 配置 ， 而 在 SSL 


策略 中 又 涉及 PKI 域 、 数 字 证 书 等 技术 。 有 关 PKI 和 数字 证 书 的 配置 已 在 第 8 章 详 细 介 
绍 了 ， 本 章 将 具体 介绍 HTTPS 服务 器 和 SSL VPN 的 配置 与 管理 方法 。 





了 帮助 大 家 杭 清 SSLVPN 所 涉及 的 这 么 多 技术 在 整个 SSL VPN 应 用 配置 中 的 
关系 ， 在 此 介绍 这 些 功能 配置 方面 的 基本 次 序 。 首 先 要 准备 好 配置 HTTPS 服务 器 (由 
SSL VPN 网 关 担 当 ) 所 需 的 基础 配置 材料 一 一 CA 证书 和 SSL VPN 网 关 本 地 证 书 (这 需 
要 向 PKI 域 中 的 CA 申请 ), 然后 再 在 SSL VPN 网 关上 配置 SSL 策略 , 并 配置 为 HTTPS 
服务 器 ， 最 后 才 是 SSL VPN 的 配置 ， 基 本 流程 如 图 9-1 所 示 。 


| 太一 >| 配置 SSL 策略 | 上 一 > | 配置 HTTPS 服务 器 一 >>| 配置 SSLVPN | 


图 9-1 SSL VPN 配置 的 基本 流程 


9.1.1 SSL 概述 
SSL VPN 中 的 基础 协议 就 是 SSL (安全套 接 字 层 ) 协议 ， 是 位 于 计算 机 网 络 体系 结 
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构 的 传输 层 和 应 用 层 之 间 的 套 接 字 (Socket) 协 议 的 安全 版 本 , 可 为 基于 公 网 (如 Internet ) 
的 通信 提供 安全 保障 。SSL 可 使 客户 端 与 服务 器 之 间 的 通信 不 被 攻击 者 穷 听 ， 并 且 远 程 
客户 端 通过 数字 证 书 始终 对 服务 器 (SSL VPN 网 关 ) 进行 认证 ， 还 可 选择 对 客户 站 进行 
认证 。 目 前 ，SSL 协议 广泛 应 用 于 电子 商务 、 网 上 银行 等 领域 。 

SSL 协议 具有 以 下 优点 。 

(1) 提供 较 高 的 安全 性 保证 

SSL 利用 数字 证 书 以 及 其 中 的 RSA 密 钥 对 提供 数据 加 密 、 身 份 验证 和 消 恩 完整 性 验 
证 机 制 ， 为 基于 TCP 协议 可 靠 连 接 的 应 用 层 协议 提供 安全 性 你 证 。 

(2) 支持 各 种 应 用 层 协 议 

虽然 SSL 设计 的 初衷 是 为 了 解决 Internet 安全 性 问题 ， 但 是 由 于 SSL 位 于 应 用 层 和 
传输 层 之 间 ， 所 以 可 为 任何 基于 TCP 可 靠 连 接 的 应 用 层 协议 提供 安全 性 保证 。 

(3) 部 署 价 单 

基于 SSL 的 应 用 是 最 普通 的 B/S (浏览 器 /服务 器 ) 架构 , 用 户 只 需要 使 用 文 持 SSL 
协议 的 浏览 器 (现在 已 普遍 支持 )， 即 可 通过 SSL 以 Web 的 方式 安全 访问 外 部 的 Web 资 
源 ， 如 SSL VPN 就 是 其 中 一 种 最 典型 的 应 用 。 在 用 户 端 可 以 说 是 不 用 做 任意 客户 配置 ， 
大 大 简化 了 用 户 终端 的 配置 .目前 SSL 已 经 成 为 网 络 中 用 来 鉴别 网 站 和 网 页 浏览 者 身份 ， 
以 及 在 浏览 器 使 用 者 及 Web 服务 器 之 间 进 行 加 密 通 信 的 全 球 化 标准 。 

SSL 从 以 下 几 方 面 提高 了 设备 的 安全 性 。 

(1) 通过 在 SSL 服务 器 端 配置 AAA 认证 方案 ， 可 确保 仅 合 法 客户 端 可 以 安全 地 访 
问 服务 器 ， 禁 止 非法 的 客户 端 访 问 服务 器 。 

(2) 通过 在 SSL 服务 器 端 申请 本 地 证 书 ， 客 户 端 导 入 服务 器 的 本 地 证 书 ， 可 确保 客 
户 端 所 访问 的 服务 器 是 合法 的 ， 而 不 会 被 重 定 同 到 非法 的 服务 器 上 。 

(3) 客 户 端 与 服务 器 之 间 交 互 的 数据 通过 使 用 服务 器 端 本 地 证 书 中 所 带 的 RSA 密 钥 
进行 加 密 或 数字 签名 ， 加 密 保 证 了 传输 的 安全 性 ， 签 名 保证 了 数据 的 完整 性 ， 从 而 实现 
了 对 设备 的 安全 管理 。 

【经 验 提示 】 在 SSL〈 包 括 SSL VPN) 应 用 中 ， 数 字 证 书 一 般 只 在 服务 器 上 安装 ， 
客户 端 可 以 不 安装 数字 证 书 (当然 也 可 以 安装 ， 且 这 样 更 安全 )。 客 户 端 在 访问 服务 器 端 
会 自动 导入 服务 器 的 本 地 证 书 ， 并 从 CA 上 对 其 合法 性 进行 验证 。 然 后 在 客服 端 向 服务 
器 端 发 送 数据 时 , 使 用 服务 器 的 公 钥 进行 加 密 ,， 服务器 利用 自己 的 私 钥 接收 后 进行 解密 ， 
而 从 服务 器 向 客户 端 返回 消息 时 ， 则 使 用 服务 器 的 私 钥 进行 数字 签名 ， 客 户 端 再 使 用 服 
务 器 的 公 钥 进行 解密 。 


9.1.2 SSL VPN 的 引入 背景 


随 着 Internet 的 普及 ， 移 动 办 公 人 员 日 益 增 多 ， 企 业 员 工 、 客 户 和 合作 伙伴 希望 能 
够 随时 随地 接 入 企业 的 内 部 网 络 ， 访 问 企业 的 内 部 资源 。 但 是 ， 在 远程 用 户 访 问 企 业 的 
内 部 资源 的 过 程 中 ， 会 出 现 企业 的 内 部 网 络 被 攻击 ， 接 入 用 户 的 身份 可 能 不 合法 导致 企 
业内 网 资源 被 非法 用 户 窃取 等 安全 隐患 。 

在 公共 网 络 中 建立 虚拟 专用 通信 网络 的 VPN 技术 提供 了 一 种 安全 机 制 ， 可 以 保护 
企业 的 内 部 网 络 不 被 攻击 , 内 部 资源 不 被 盘 取 。 像 本 书 前 面 介 绍 的 L2TP VPN、 IPSec VPN 


Se 华为 VPN 学 习 指南 


技术 可 以 满足 移动 用 户 安 全 接 入 企业 内 网 的 需求 (GRE VPN 不 支持 移动 用 户 的 远程 VPN 
接 入 )。 但 SSL VPN 在 为 远程 移动 用 户 远程 接 入 方面 , 与 前 面 提 到 的 这 些 VPN 方案 相 比 
共有 以 下 优点 。 

(1) 客户 端 零 配置 、 免 维护 

SSL VPN 基于 B/S 浏览 右 / 服 务 右 〉 架 构 ， 接 入 SSL VPN 的 移动 用 户 端 只 需 有 一 
个 支持 SSL 的 浏览 器 软件 即 可 ， 真 正 零 配置 (也 不 需要 安装 客户 端 软件 )、 免 维护 ， 节 
省 了 企业 的 部 闭 和 维护 VPN 费用 。 所 有 的 配置 集中 在 网 关 设 备 上 ， 移 动用 户 通 过 内 髓 
SSL 协议 的 浏览 右 (已 普遍 文 持 ) 接 入 就 可 查看 ， 访 问 被 允许 访问 的 企业 内 网 资源 。 

(2) 权限 控制 更 细致 

IPSec 只 能 基于 IP 报 文 的 五 元 组 ( 源 IP 地 址 、 源 端口 、 目 的 IP 地 址 、 目 的 端口 和 
传输 层 协议 ) 进行 访问 控制 ， 但 无 法 识别 出 使 用 某 终 端 接 入 IPSec 的 人 是 否 为 指定 的 授 
权 用 户 ， 即 管理 员 无 法 确 知 是 谁 在 利用 VPN 访问 内 网 资源 。 而 SSL VPN 的 所 有 访问 控 
制 都 是 基于 应 用 层 的 ,其 细 分 程度 可 以 达到 URL 或 文件 级 别 , 能 更 细致 地 控制 远程 用 户 
的 访问 权限 ， 大 大 提高 企业 远程 接 入 的 安全 级 别 。 而 且 在 客户 端 上 安装 数字 证 书后 ， 还 
可 准确 地 获知 访问 企业 内 网 资源 的 用 户主 体 。 

(3) 部 署 方便 、 灵 活 

在 大 多 数 其 他 VPN 方案 中 ， 如 果 增 加 设备 或 改变 用 户 网 络 环境 ， 需 要 调整 原 有 配 
置 。 但 采用 SSL VPN 部 署 时 就 不 会 有 这 种 影响 了 ， 只 要 有 浏览 器 用 户 就 可 以 很 方便 地 实 
现 远程 VPN 接 入 。 而 且 SSL VPN 不 会 与 其 他 业务 (如 NAT) 形成 冲突 ， 方 便 了 企业 的 
部 署 。 因 为 SSL 协议 不 会 改变 卫 报头 和 TCP 报头 , 报 文 可 以 正常 通过 NAT 设备 而 无 需 
改变 NAT 设备 的 设置 。 


9.1.3 SSL VPN 系统 组 成 


SSL VPN 工作 在 传输 层 和 应 用 层 之 间 ， 是 通过 SSL 协议 加 密实 现 安全 接 入 的 VPN 
技术 ， 保 护 企业 的 内 部 网 络 不 被 攻击 ， 内 部 资源 不 被 家 取 。SSL VPN 的 典型 组 网 架构 如 
图 9-2 所 示 。 





服务 器 






SSL VPN 网 关 


CA 服务 器 企业 总 部 
图 9-2” SSL VPN 系统 组 成 


e 远程 终端 : 远程 用 户 接 入 的 终端 PC， 远 程 用 户 只 需 通 过 支持 SSL 协议 的 浏览 
(普通 浏览 器 部 文 持 〉 接 入 。 

。 SSL VPN 网 关 : 同时 又 担当 HTTPS 服务 器 角色 (要 配置 SSL 服务 器 策略 )， 已 
成 功 连接 Internet， 负 责 在 远程 终端 和 企业 内 网 服务 器 之 间 转 发 报 文 ， 并 与 远程 终 痛 之 间 


第 9 章 SSL VPN 配置 与 管理 525 


建立 SSL 连接 ， 以 保证 数据 传输 的 安全 性 。 

。 企业 内 网 服务 器 : 可 以 是 任意 类 型 的 服务 器 ， 也 可 以 是 企业 内 网 需要 与 远程 用 户 
通信 的 主机 。 远 程 用 户 通过 查看 资源 列表 可 以 访问 不 同 的 内 网 资源 。 

。 认证 服务 器 : SSL VPN 网 关 不 仅 支 持 本 地 认证 ， 还 支持 通过 外 部 认证 服务 器 (如 
RADIUS 服务 器 ) 对 远程 用 户 的 身份 进行 远程 认证 。 

e。 CA 服务器: 为 SSL VPN 网 关 颁 发 包含 公 钥 信息 的 数字 证 书 ， 远 程 终 闯 再 根据 网 
关上 的 数字 证 书 相 关 信 息 验 证 网 关 身 份 的 合法 性 。 但 当 SSL VPN 网 关 采 用 目 签 名 数字 证 
书 时 ， 则 不 需要 部 署 CA 服务 器 了 。 

当 终 端 用 户 要 对 企业 总 部 网 络 资源 进行 访问 时 , 首先 要 通过 浏览 器 访问 SSLVPN 网 
关 【〔 在 浏览 器 地 址 栏 中 输入 的 是 SSL VPN 网 关 的 卫 地 址 )， 在 网 关 的 Web 页 面 中 找到 
自己 要 访问 的 资源 ， 然 后 由 SSL VPN 向 企业 内 部 服务 器 发 出 访问 请 求 。 

【经 验 提 示 】〗 以 上 的 认证 服务 器 和 CA 服务 器 的 用 途 是 不 一 样 的 : 认证 服务 器 是 SSL 
VPN 网 关 用 来 对 远程 终端 的 合法 进行 验证 (部署 了 AAA 认证 方案 )， 而 CA 服务 器 是 为 
SSL VPN 网 关 颁 发 证 书 ， 为 远程 终端 对 SSL VPN 服务 器 的 身份 合法 进行 验证 。 在 SSL 
VPN 中 ,远程 终端 始终 要 对 SSL VPN 网 关 ( 即 HTTPS 服务 器 ) 的 身份 合法 性 进行 验证 。 
当然 ， 此 时 远程 终端 也 要 可 以 获取 由 同一 CA 服务 器 颁发 的 证 书 (在 客户 端 也 可 不 安装 
数字 证 书 ) ， 在 浏览 器 中 要 信任 该 CA。 

9.1.4 SSL VPN 业务 分 类 


SSL VPN 网 关 文 持 三 种 业务 类 型 Web 人 代理、 端口 转发 和 网 络 扩展 ， 分 别 对 应 于 
Web 接 入 、TCP 接 入 、IP 接 入 三 种 不 同 的 远程 用 户 权 限 接 入 企业 内 网 。 远 程 用 户 通过 不 
同 的 接 入 方式 ， 可 以 访问 不 同类 型 的 企业 内 网 资源 。 

远程 用 户 认 证 成 功 后 ， 可 以 查看 供 自己 访问 的 资源 列表 ， 资 源 列表 界面 如 图 9-3 所 
示 《〈 此 处 显示 的 Web 代理 界面 )。 在 远程 用 户 访 问 内 网 资源 过 程 中 ，SSL VPN 网 关 起 到 
代理 作用 ， 负 责 在 远程 终端 和 企业 内 网 服务 器 之 间 转 发 报 文 。 
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图 9-3 SSLVPN 网 关 资 源 列 表 界 面 
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1. Web 代理 

Web 代理 的 SSL VPN 业务 为 远程 用 户 提 供 对 企业 内 网 Web 资源 (必须 是 可 通过 浏 
览 右 访问 的 资源 ) 的 安全 访问 。 终端 用 户 可 以 使 用 该 业务 以 Web 页 面 形式 访问 企业 内 网 
资源 ，. 如 企业 内 部 网 站 ， 其 工作 流程 如 图 9-4 所 示 。 


Cm 


Internet 





远程 终端 SSL VPN 网 关 Web 服务 器 


选择 Web '‘1) 通过 SSL 隧道 发 送 HTTP 请 求 | 
od 
资源 | 
(2) 转发 HTTP 请 求 


(4) 改写 HTTP 回应 ， 并 通过 
SSL 隧道 转发 HTTP 回应 


0 
9-4 ”Web 代理 业务 访问 流程 


| 
| | 
| | | 
| 
| | | 
| (3) 回应 HTTP 请 求 | 
eg 
| | | 
| | 


VPN 隧道 是 建立 在 终端 用 户 和 SSP VPN 网 关 之 间 ， 有 具体 访问 流程 如 下 。 

(1) 远程 用 户 选 择 图 9-3 中 的 Web 代理 业务 列表 显示 的 可 访问 Web 链接 后 , 远程 终 
端 通过 SSL VPN 隧道 向 SSL VPN 网 关 发 送 HTTP 请 求 。 

(2) SSL VPN 网 关 收 到 HTTP 请 求 后 ， 将 HTTP 请 求 消息 中 的 URL 映射 到 企业 内 
网 Web 服务 器 ， 并 将 HTTP 请 求 消息 转发 到 被 请 求 资 源 对 应 的 真正 的 Web 服务 器 。 

(3) Web 服务 器 响应 SSL VPN 网 关 转 发 的 HTTP 请 求 。 

(4) SSL VPN 网 关 收 到 HTTP 啊 应 消息 后 ， 将 啊 应 消息 中 的 真实 的 URL 转换 为 指 
向 SSL VPN 网 关 的 URL， 并 将 改写 后 的 HTTP 响应 消息 通过 SSL VPN 隧道 发 送 给 远程 
用 户 ， 然 后 远程 用 户 就 可 以 访问 到 对 应 的 Web 资源 了 。 

在 Web 代理 业务 中 , 远程 用 户 在 访问 真实 的 URL 对 应 的 资源 时 都 通过 SSL VPN 网 
关 ， 保 证 了 远程 用 户 传输 数据 的 安全 。 

2， 端口 转发 

端口 转发 的 SSL VPN 业务 用 于 实现 远程 用 户 对 服务 器 开放 病 口 的 安全 访问 ,一 般 用 
于 企业 的 出 差 员 工 、 分 支 机 构 员 工 或 合作 伙伴 访问 特定 的 应 用 程序 资源 。 通 过 新 口 转发 
业务 ， 远 程 用 户 可 以 访问 企业 内 网 中 基于 TCP 的 服务 ， 包 括 远程 访问 服务 (如 Telnet)、 
桌面 共享 服务 、 邮 件 服务 等 。 

远程 用 户 在 如 图 9-3 所 示 的 界面 中 选择 了 要 访问 端口 转发 类 的 业务 时 ， 远 程 终 端 会 
自动 从 SSL VPN 网 关 下 载 一 个 Java 插件 。 该 Java 插件 负责 与 SSL VPN 网 关 建 立 SSL 
连接 ， 相 当 于 TCP 应 用 代理 。 这 样 ， 远 程 用 户 可 通过 原 有 应 用 程序 直接 访问 企业 内 网 提 
供 的 服务 ， 而 不 需要 额外 的 设置 。 

远程 用 户 利用 端口 转发 业务 访问 企业 内 网 服务 器 的 工作 流程 如 图 9-5 所 示 ， 有 具体 描 
述 如 下 。 
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ET 


Internet 





内 网 应 用 
远程 终端 SSL VPN 网 关 服务 器 


| | | 
启动 端口 ! (1) 封装 TCP 应 用 请 求 并 发 送 | 
| 
转发 业务 | | (2) 建立 TCP 连接 
| | 
| (3) 回应 TCP 应 用 请 求 , 与 TCP | 


| 应 用 程序 建立 TCP 连接 
| | 





| 
(4) 发 送 应 用 层 数 据 | 
1 (5) 转发 应 用 层 数 据 


| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
| 
I.(6) 发 送 啊 应 数据 
| 
| 


(7) 转发 响应 数据 


图 9-5” 问 口 转发 业务 访问 流程 


(1) 远程 用 户 开 局 TCP 应 用 程序 〈 如 打开 远程 访问 服务 程序 ， 远 程 连 接 到 企业 内 网 
应 用 服务 器 等 )，Java 插件 就 会 与 SSL VPN 网 关 建 立 SSL 连接 , 并 封装 TCP 应 用 请 求 为 
HTTP 请 求 ， 通 过 SSL 隧道 发 送 给 SSL VPN 网 天 。 

(2) SSL VPN 网 关 与 对 应 的 企业 内 网 应 用 服务 器 建立 TCP 连接 。 

(3) TCP 连接 建立 成 功 后 ，SSL VPN 网 关 通 过 SSL VPN 隧道 回应 Java 插件 的 HTTP 
请 求 。Java 插件 与 TCP 应 用 程序 建立 TCP 连接 。 

(4) 收 到 SSL VPN 网 关 的 HTTP 回应 后 ，Java 插件 将 远程 用 户 访 问 企 业内 网 应 用 服 
务 器 的 应 用 层 数据 通过 SSL VPN 隧道 发 送 给 SSL VPN 网 关 。 

(5) SSL VPN 网 关 在 收 到 来 自 和 远程 用 户 的 应 用 层 数据 后 再 通过 已 经 建立 的 TCP 连 
接 将 应 用 层 数 据 发 送 给 企业 内 网 应 用 服务 器 。 

(6) 企业 内 网 应 用 服务 器 也 会 对 SSL VPN 网 关 进 行 响 应 ， 响 应 消息 中 包括 正常 情况 
下 执行 某 项 应 用 程序 时 的 交互 消息 。 

(7) SSL VPN 网 天 将 企业 内 网 应 用 服务 器 啊 应 的 数据 发 送 给 Java 插件 ，Java 插件 将 
数据 转发 给 TCP 应 用 程序 。 

3， 网络 扩 展 

网 络 扩展 的 SSL VPN 业务 提供 对 远程 用 户 与 企业 内 网 间 IP 通信 的 安全 保护 ， 多 用 
于 企业 出 差 员 工 等 访问 企业 内 网 文件 资源 。 网 络 扩 展 能 使 远程 终端 与 企业 内 网 服务 器 在 
网 络 层 实现 安全 通信 ， 使 远程 用 户 在 远程 访问 时 就 像 访问 本 地 局 域 网 一 样 方便 和 安全 。 
SSL VPN 的 这 一 业务 与 IPSec VPN 类 似 。 

远程 用 户 在 图 9-3 界面 中 选择 访问 网 络 扩 展业 务 后 ， 远 程 终 端 也 会 自动 从 SSL VPN 
网 关 下 载 Java 插件 。Java 插件 负责 与 SSL VPN 网 关 建 立 SSL 连接 ， 生 成 虚拟 网 卡 并 为 
虚拟 网 卡 申 请 企业 内 网 IP 地 址 ， 相当 于 将 远程 用 户 加 入 内 部 网 络 , 使 远程 用 户 具 有 对 企 
业内 网 最 大 的 访问 权限 。 

远程 用 户 利 用 网 络 扩展 业务 访问 企业 内 网 服务 器 资源 的 工作 流程 如 图 9-6 所 示 。 整 


528 华为 VPN 学 习 指 南 


个 访问 过 程 要 经 过 多 次 的 IP 报 文 重 封装 和 解 封装 ， 具 体 描述 如 下 。 


im 


Internet 





远程 终端 SSL VPN 网 关 内 网 服务 器 
| | 
启动 网 络 | (1) 封装 IP 应 用 请 求 并 发 送 | | 
扩展 业务 1 
1 (2) 还 原 卫 应 用 请 | 


| 求 为 IP 报 文 并 发 送 | 
| 


| 
| 
| (3) 发 送 回应 数据 1 
her- 下 
| 
| 


| 
| 
| 
| 
| 
| 
| (4) 封装 回应 数据 并 发 送 
| 


| 
图 9-6 “网络 扩 展业 务 访问 流程 


(1) 远程 用 户 启 动 IP 应 用 (如 执行 Ping 命令 ) 访问 企业 内 网 资源 ，IP 应 用 请 求 报 
文 会 根据 路 由 (根据 报 文中 的 目的 IP 地 址 选择 路 由 ) 被 发 送 到 本 地 由 Java 插件 生成 的 
虚拟 网 卡 上 ， 以 使 该 应 用 数据 报 文 能 在 SSL VPN 隧道 中 传输 。Java 插件 对 原始 IP 应 用 
请 求 报 文 进行 卫 重 封装 〈 重 封装 后 的 新 IP 报头 中 的 源 全 地 址 为 虚拟 网 卡 的 卫 地 址 ) ， 
然后 将 IP 应 用 请 求 发 送 到 SSL VPN 网 天。 





在 这 个 过 程 中 ， 原始 应 用 请 求 报头 中 的 源 卫 地 址 由 原来 终端 主机 物理 网 卡 IP 地 
址 转换 成 了 与 企业 网 络 在 相同 IP 网 段 的 虚拟 网 卡 IP 地 址 。 


(2) SSL VPN 网 关 收 到 经 过 重 封 装 后 的 卫 应 用 请 求 报 文 后 进行 解 封 装 ， 还 原 成 原 
始 的 IP 应 用 请 求 报 文 〈 此 时 IP 报头 中 的 源 IP 地 址 是 用 户主 机 物理 网 卡 的 卫 地 址 ) ， 
并 发 往 对 应 的 企业 内 网 服务 器 。 

(3) 企业 内 网 服务 器 收 到 IP 应 用 请 求 报 文 对 SSL VPN 网 关 进 行 啊 应 。 

(4) SSL VPN 网 关 收 到 来 目 企 业内 网 服务 器 的 啊 应 报 文 ， 重 新 进行 封装 〈 新 卫 报 
头 的 目的 卫 地 址 转换 成 用 户 虚拟 网 卡 的 IP 地 址 ) ， 然 后 转发 给 远程 终端 的 Java 插件 。 
Java 插件 再 进行 解 封 装 后 通过 虚拟 网 卡 将 原始 响应 IP 报 文 转发 给 远程 终端 主机 。 


9.1.5 ”SSL VPN 的 上 典型 应 用 


SSL VPN 的 应 用 主要 分 单 虚拟 网 关 和 多 虚拟 网 天 两 种 应 用 场景 。 

1. 单 虚 拟 网 关 远 程 接 入 

单 虚拟 网 关 指 的 是 在 SSL VPN 应 用 中 , 所 有 用 户 都 使 用 相同 的 网 关 配 置 对 远程 企业 
总 部 网 络 进行 访问 。 如 图 9-7 所 示 ， 企 业 通过 SSL VPN 网 关 与 Internet 连接 ， 位 于 外 
网 的 企业 出 差 员 工 和 分 支 机 构 员 工 需 要 安全 访问 企业 内 网 资源 ， 这 些 远程 用 户 可 使 用 
终端 PC， 在 任何 时 间 、 任 何 地 点 通过 浏览 器 接 入 企业 内 部 网 络 ， 而 且 可 以 访问 相同 的 
资源 。 

图 9-7 中 远程 用 户 均 可 访问 企业 内 网 资源 ， 并 且 他 们 有 具有 相同 的 权限 。 
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ee 
nimi ooo 


SSL VPN 网 关 企业 总 部 






分 支 机 构 员工 
9-7 单 虚拟 网 关 远 程 接 入 SSL VPN 应 用 示例 


2. 多 虚拟 网 关 远 程 接 入 

如 图 9-8 所 示 , 企业 通过 SSL VPN 网 关 设 备 与 Internet 连接 , 位 于 外 网 的 出 差 员 工 、 
客户 和 合作 伙伴 都 需要 安全 访问 企业 的 内 网 资源 。 此 时 ， 可 在 网 天 设备 上 配置 SSL VPN 
多 虚拟 网 关 功 能 ， 将 一 台 设 备 模拟 为 多 个 虚拟 网 关 设 备 ， 满 足 不 同类 型 远程 用 户 的 不 同 
类 型 的 访问 需求 。 这 时 ， 不 同类 型 的 远程 用 户 只 能 访问 对 应 虚拟 网 关 的 资源 ， 并 且 在 管 
理 和 使 用 上 不 受 其 他 虚拟 网 关 的 配置 影响 。 


SSL VPN 网 关 





合作 伙伴 
一 一 -一 远程 用 户 访问 通道 
图 9-8 多 虚拟 网 关 远 程 接 入 SSL VPN 应 用 示例 


如 在 SSL VPN 网 天 上 创建 虚拟 网 关 A、 虚 拟 网 关 B 和 虚拟 网 关 C, 然后 将 三 个 虚拟 
网 天 地 址 分 别 告 知 对 应 的 远程 用 户 , 使 远程 用 户 通 过 浏览 器 访问 各 上 自 能 访问 的 内 网 资源 。 
该 场景 也 适用 于 在 一 栋 大 楼 内 ， 不 同 企 业 通过 同一 台 网 关 设 备 与 Internet 连接 ， 不 同 企 
业 的 远程 用 户 分 别 根据 不 同 的 虚拟 网 关 访 问 对 应 企业 的 内 网 资源 。 


9.2 SSL 服务 器 策略 配置 与 管理 


在 HITPS 服务 器 配置 中 要 用 到 SSL 策略 ， 所 以 在 此 先 介绍 SSL 策略 的 配置 。 

SSL 利用 数据 加 密 、 喘 份 验 证 和 消息 完整 性 验证 机 制 ， 为 基于 TCP 可 靠 连接 的 应 用 
层 协议 提供 安全 性 保证 。 应 用 层 协议 (如 HTTP 协议 ) 可 以 关联 服务 器 型 SSL 策略 ， 使 
应 用 层 协议 与 SSL 结合 ， 从 而 为 应 用 层 协 议 提供 安全 连接 。 

SSL 也 是 采用 Client/Server 结构 , 如 图 9-9 所 示 , 所 以 SSL 策略 又 分 为 服务 器 型 SSL 
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东 略 (也 称 为 “SSL 服务 器 策略 ”)、 客 户 端 型 SSL 策略 〈 也 称 为 “SSL 客户 端 策略 ”)， 
常理 员 在 设备 上 配置 服务 器 型 SSL 策略 后 ， 设 备 即 可 以 作为 SSL 服务 器 。 在 SSL 握手 
过 程 中 ， 设 备 使 用 服务 器 型 SSL 策略 所 设置 的 SSL 参数 与 SSL 客户 端 之 间 协 商会 话 参 
数 ， 并 建立 会 话 。 


SSL 服务 器 







SSL 客户 端 





、Internet 
图 9-9 SSL 系统 基本 组 成 


9.2.1 配置 SSL 服务 器 策略 


当 配 置 AR 路 由 器 作为 SSL 服务 器 〈 如 IPSec VPN 网 关 和 SSL VPN 网 关 ) 时 ， 人 多 
许 SSL 客户 端 对 其 进行 身份 验证 。 如 要 实现 SSL 服务 器 对 SSL 客户 端 进行 身份 验证 ， 
则 需要 在 SSL 服务 器 上 配置 本 地 或 远程 AAA 认证 功能 。 当 配置 华为 AR 路 由 器 作为 SSL 
服务 器 时 ， 可 以 与 SSL3.0、TLS1.0、TLS1.1 和 TLS1.2 版 本 的 SSL 客户 端 通信 。AR 路 
由 器 也 可 配置 作为 SSL 客户 端 ， 在 此 不 作 介 绍 。 

SSL 服务 器 的 配置 步骤 见 表 9-1， 其 实 关 键 束 一 步 ， 就 是 把 所 创建 的 SSL 服务 器 策 
略 与 指定 的 PKI 域 进行 关联 , 使 该 SSL 服务 器 策略 所 用 指定 PKI 域 中 的 本 地 证 书 进行 喘 
份 认 证 。 

表 9-1 配置 SSL 服务 器 的 步骤 
步骤 和 1 

system-view 
例如 : <Huawei> system-view 


进入 系统 视图 


创建 服务 器 型 SSL 策略 ， 并 进入 服务 器 型 SSL 策略 视图 。 
. | 参数 policy-name 用 来 指定 所 创建 的 SSL 策略 的 名 称 ， 字 
ssl policy policy-name type | 符 串 形式 ， 不 支持 空格 ， 区 分 大 小 写 ， 长 度 范围 是 1 一 31， 
server bi 人 己 zir LO» 
例如 : [Huawei] ssl policy users 人 
type a el 缺 省 情况 下 ， 存 在 一 个 名 为 default policy 的 SSL 策略 ， 
该 策略 绑 定 有 缺 省 的 PKI 域 default， 可 用 undo ssl policy 
policy-name 命令 删除 指定 的 SSL 策略 
pki-realm realm-name 进入 要 配置 SSL 服务 器 策略 的 PKI 域 的 视图 , 使 路 由 器 可 
3 例如 : [Huawei-ssl-policy- 以 基于 PKI 域 从 认证 机 构 CA 获取 数字 证 书 ,， 以 便 SSL 客 
users] pki-realm abc 户 端 可 以 根据 数字 证 书 对 路 由 器 进行 身份 验证 
(可 选 ) 配置 服务 器 型 SSL 策略 使 用 的 SSL 协议 版 本 。 命 
令 中 的 选项 说 明 如 下 。 
。 ssl3.0: 可 多 选 选项 ， 指 定 SSL 协议 版 本 为 SSL3.0。 
ssl3.0 | tls1.0 | tlsl.1 | | 。tlsl1.0， 可 多 选 选项 ， 指 定 SSL 协议 版 本 为 TLS1.0。 
sl. 
。 tis1.1: 可 多 选 选项 ， 指 定 SSL 协议 版 本 为 TLS1.1。 


例如 : [Huawei-ssl-policy- es 册 
users] version tls1.1 。 tls1.2: 可 多 选 选项 ， 指 定 SSL 协议 版 本 为 TLS1.2。 


缺 省 情况 下 ， 服 务 器 型 SSL 策略 使 用 的 SSL 协议 版 本 为 
TLS1.2, 可 用 undo version 命令 删除 服务 器 型 SSL 策略 使 
用 的 SSL 协议 版 本 
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session { cachesize size | 
. . 
timeout time } 


例如 : [Huawei-ssl-policy- 
users| session cachesize 50 
timeout 7200 


ciphersuite { rsa_3des cbe_ 
sha | rsa aes 128 cbc sha | 
rsa_des cbc sha |rsa aes_ 
128_ sha256 | rsa aes 256_ 

sha2S6 } 


例如 : [Huawei-ssl-policy- 
Users] ciphersuite rsa aes 
128_ cbc_sha 





( 续 表 ) 





(可 选 ) 配置 保存 会 话 的 最 大 数目 和 最 大 时 长 。 命 令 中 的 参 
数 说 明 如 下 。 

ecachesize size: 可 多 选 参数 ， 指 定 保存 会 话 的 最 大 数目 ， 
整数 形式 ， 具 体 取 值 以 设备 为 准 。 

。 timeout time: 可 多 选 参数 ， 指 定 保存 会 话 的 最 大 时 长 ， 
整数 形式 ， 取 值 范围 是 1800 一 72000， 单 位 为 秒 。 

如 果 保 存 会 话 的 数目 达到 最 大 值 ，SSL 服务 器 将 拒绝 保存 
新 的 会 话 ， 如 果 保 存 会 话 的 时 间 超 过 最 大 值 ，SSL 将 删除 
该 会 话 的 信息 。 新 配置 将 履 盖 老 配 置 。 

缺 省 情况 下 ， 保 存 会 话 的 最 大 时 长 为 3600s， 不 同 AR 系 
列 路 由 器 可 保存 会 话 的 最 大 数目 不 同 ， 可 用 undo session 
{ cachesize | timeout } * 命 令 恢 复 保 存 会 话 的 最 大 数目 和 
最 大 时 长 为 缺 省 情况 


(可 选 ) 配置 服务 器 型 SSL 策略 支持 的 加 密 套 件 。 加 密 套 
件 包 含 数 据 加 密 算法 、 密 钥 交 换算 法 和 MAC 摘要 算法 等 
信息 。 在 SSL 握手 过 程 中 ，SSL 客户 端 通过 Client Hello 
消息 将 它 支 持 的 SSL 协议 版 本 、 数 据 加 密 算法 、 密 钥 交 换 
算法 、MAC 摘要 算法 等 信息 发 送 给 SSL 服务 器 。SSL 服 
务 器 确定 本 次 通信 采用 的 SSL 协议 版 本 和 加 密 套 件 ， 并 通 
过 Server Hello 消息 通知 给 SSL 客户 端 。 新 配置 将 履 盖 老 
配置 。 命 令 中 的 选项 说 明 如 下 。 
。 rsa_3des_cbe_sha: 可 多 选 选项 ， 指 定 加 密 套 件 为 rsa_ 
3des_cbc_sha， 其 中 密 钥 交 换算 法 采用 RSA， 数 据 加 密 算 
法 采用 3DES_CBC 算法 ，MAC 摘要 算法 采用 SHA。 
e rsa_aes_128_cbc_sha: 可 多 选 选项 ， 指 定 加 密 套 件 为 
rsa_aes_128_cbc_sha， 其 中 密 钥 交 换算 法 采用 RSA， 数 据 
加 密 算法 采用 128 位 AES_CBC 算法 , MAC 摘要 算法 采用 
SHA。 
。 rsa_des_cbe_sha: 可 多 选 选项 ， 指 定 加 密 套 件 为 rsa_ 
des_cbe_sha, 其 中 密 钥 交换 算法 采用 RSA, 数据 加 密 算法 
采用 DES_CBC 算法 ，MAC 摘要 算法 采用 SHA。 
e rsa aes 128 sha256: 可 多 选 选项 , 指定 加 密 套 件 为 rsa_ 
aes_128_sha256， 其 中 密 钥 交 换算 法 采用 RSA， 数 据 加 密 
算法 采用 128 位 的 AES_CBC 算法 ，MAC 摘要 算法 采用 
SHA2-256。 
e rsa aes 256 sha256: 可 多 选 选项 , 指定 加 密 套 rsa_aes_ 
256_sha256， 其 中 密 钥 交换 算法 采用 RSA， 数 据 加 密 算 法 
采用 256 位 的 AES CBC 算法 ，MAC 摘要 算法 采用 
SHA2-230。 
缺 省 情况 下 ， 服 务 器 型 SSL 策略 支持 的 加 密 套 件 包括 
sa_aes 128 sha256 和 rsa aes 256 sha2S6， 可 用 undo 
ee 命令 恢复 服务 器 型 SSL 策略 支持 的 加 密 套 件 为 
省 配置 





Ssl renegotiation-rate rate 


例如 : [Huaweil] ssl 
renegotiation-rate 2 








也 可 以 在 使 能 
SSL 连接 重 协 商 
功能 的 同时 ， 配 
置 SSL 连接 重 协 
商 速 率 ， 减 轻重 
的 攻击 ， 尽 量 保 
证 业务 正常 运行 
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〈 续 表 ) 

0 IO 人 1 
undo renegotiation enable (可 选 ) 配置 SSL (一 选 一 ) 去 使 能 SSL 连接 重 协 商 功能 
RE 重 协商 功能 。 当 | 缺 省 情况 下 ，SSL 连接 重 协商 功能 处 
epee di ns 设备 遇 到 重 协商 | 于 使 能 状态 ， 可 用 undo renegotiation 
renegotiation enable 攻击 时 ， 可 通过 | enable 命令 去 使 能 SSL 连接 重 协 商 

去 使 能 重 协 商 功 | 功能 
quit 能 来 阻止 攻击 ， 
例如 : [Huawei-ssl-policy- 但 去 使 能 重 协商 | 返回 系统 视图 
server-users] quit 功能 同时 会 造成 
/ 业务 中 断 。 因 此 


(二 选 一 ) 配置 SSL 连接 重 协商 速率 ， 
整数 形式 ， 取 值 范围 是 0 一 65535， 单 
位 是 次 /s。 此 配置 对 所 有 SSL 策略 均 
生效 。 

缺 省 情况 下 , SSL 连接 重 协 商 速 率 为 1 
次 /$， 可 用 undo ssl renegotiation-rate 
命令 用 来 恢复 SSL 连接 重 协商 速率 为 
缺 省 配置 





9.2.2 SSL 维护 和 管理 命令 


当 设 备 与 SSL 服务 器 或 SSL 客户 端 成 功 建 立 连接 时 ， 设 备 会 目 动 记录 SSL 连接 的 
数目 。 可 通过 在 任意 视图 下 执行 display ssl connection statistics 命令 查看 SSL 连接 数 的 
统计 信息 ， 有 助 于 管理 员 根 据 该 信息 进行 SSL 相关 的 故障 诊断 与 排 租 。 

如 果 需 要 统计 一 段 时 间 内 SSL 的 最 大 连接 数 信息 ， 可 以 在 统计 开始 前 使 用 reset ssl 
connection statistics 命令 清除 它 原 有 的 统计 信息 ， 使 它 重 新 进行 统计 。 


9.3 HTTPS 服务 器 配置 与 管理 


配置 好 HTTPS 服务 器 所 需 的 SSL 服务 器 策略 后 就 可 以 正式 把 AR 路 由 器 配置 为 
HTTPS 服务 器 ， 供 远程 用 户 通 过 Web 方式 访问 了 。 


9.3.1 配置 HTTPS 服务 器 


HTTPS (Secure HTTP) 是 支持 SSL 协议 的 HTTP 协议 ， 从 以 下 几 方 面 提高 了 设备 
的 安全 性 : 

。 通过 SSL 协议 保证 合法 客户 端 可 以 安全 地 访问 设备 ， 禁 止 非法 的 客户 端 访问 设备 ; 

。 客户 端 与 设备 之 间 交 互 的 数据 需要 经 过 加 密 ， 保 证 了 数据 传输 的 安全 性 和 完整 
性 ， 从 而 实现 了 对 设备 的 安全 管理 ; 

。 为 设备 制定 基于 证 书 属性 的 访问 控制 策略 ， 可 对 客户 端的 访问 权限 进行 控制 ， 进 
一 步 避 免 了 非法 客户 对 设备 进行 攻击 。 

HTTPS 服务 器 的 配置 很 简单 ， 有 具体 见 表 9-2。 
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配置 HTTPS 服务 器 关联 的 SSL 服务 器 策略 。 参 数 ssl-policy 
用 来 指定 要 关联 的 SSL 服务 器 策略 ， 已 在 9.2 节 配 置 好 。 


http secure-server ssl-policy 
ssl-policy 








2 , 缺 省 情况 下 ，HTTPS 服务 器 关联 的 SSL 服务 器 策略 的 名 
例如 : [Huawei] http secure- Me | 
server ssLpoliey lycb 称 是 default policy， 可 用 undo http secure-server ssl- 
policy 命令 取消 HTTPS 服务 器 与 SSL 服务 器 策略 的 关联 
(可 选 ) 配置 HTTPS 服务 器 的 端口 号 。 人 参数 port-number 
http secure-server port port “| 用 来 指定 HTTPS 服务 器 的 端口 号 ， 整 数 形 式 ， 取 值 范围 
number 是 1025 一 $1200。 
例如 : [Huawei] http secure- | 缺 省 情况 下 ，HTTPS 服务 器 的 端口 号 是 443， 可 用 undo 
server port 1278 http secure-server port 命令 恢复 HTTPS 服务 器 的 端口 号 
为 缺 省 情况 
http secure-server enable 使 能 设备 的 HTTPS 服务 上 功能 。 
; 缺 省 情况 下 ， 设 备 的 HTTPS 服务 器 功能 已 经 使 能 ， 可 用 
4 例如 : [Huawei] http secure- 


undo http secure-server enable 命令 去 使 能 设备 的 HTTPS 
服务 器 功能 


server enable 


以 上 配置 完成 后 ， 可 在 任意 视图 下 执行 display current-configuration | include http 
secure-server 命令 ， 查 看 HTTPS 服务 器 的 配置 信息 。 


9.3.2 ”HTTPS 服务 器 配置 示例 | 


如 图 9-10 所 示 ， 某 企业 用 户 可 以 利用 Web 页 面 访问 设备 。 为 了 防止 传输 的 数据 不 
被 窃听 和 算 改 ， 实 现 对 设备 的 安全 管理 ， 网 络 管理 员 要 求 用 户 以 HTTPS 的 方式 安全 访 
问 设 备 。 为 了 满足 上 述 需 求 ， 需 要 把 路 由 器 配置 成 为 HTTPS 服务 器 ， 以 便 用 户 以 Web 
方式 安全 访问 和 管理 设备 。 


CA 服务 器 


11.137.145.158/24 











GE1/0/0 出 pc 
11.1.1.1/24 忆 


图 9-10 ”SSL 服务 器 配置 示例 拓扑 结构 


1. 基本 配置 思路 分 析 

HTTPS 服务 器 的 配置 包括 : 一 是 同 CA 服务 器 申请 本 地 证 书 ; 二 是 创建 SSL 服务 器 
俏 略 ; 三 是 使 能 HTTPS 服务 器 功能 〈 缺 省 已 使 能 )。 后 面 两 部 分 的 配置 很 简单 ， 所 以 
HTTPS 服务 器 的 关键 还 是 PKI 的 配置 。 

本 示例 采用 SCEP 协议 自动 下 载 、 安 装 CA 证 书 和 本 地 证 书 的 方式 进行 配置 ， 这 种 
方式 最 为 简单 ， 无 需 单独 下 载 、 安 装 CA 证 书 ， 本 地 证 书 的 申请 、 下 载 和 安装 也 是 同步 
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进行 的 ， 具 体 步 又 参见 本 书 第 8 章 8.3.2 节 。 

基于 以 上 分 析 得 出 本 示例 的 基本 配置 思路 如 下 ( 均 在 路 由 器 上 配置 )。 

(1) 配置 接口 IP 地 址 及 到 达 CA 服务 器 的 静态 路 由 ， 实 现 路 由 器 和 CA 服务 器 之 间 
路 由 互通 。 

(2) 配置 PKI (包括 PKI 实体 和 PKI 域 )。 

(3) 创建 RSA 密 钥 对 ， 这 是 在 申请 本 地 证 书 之 前 必须 要 准备 好 的 。 

(4) 配置 采用 SCEP 协议 自动 申请 本 地 证 书 。 

(5) 创建 SSL 服务 器 策略 。 

(6) 配置 HTTPS 服务 器 。 





1 “为 了 从 CA 服务 器 成 功 申请 本 地 证 书 ， 要 事先 准备 好 以 下 数据 。 
e CA 服务 器 的 名 称 ， 作 为 信任 的 CA 名 称 ， 本 示例 假设 为 ca root。 

® 访问 CA 服务 器 申请 本 地 证 书 的 URL， 本 示例 假设 为 : http://11.137.145.158:8080/ 
certsrv/mscep/mscep.dll。 

e CA 证 书 的 数字 指纹 和 算法 ， 本 示例 假设 指纹 算法 为 SHA2， 数 字 指 纹 为 : 
7Tbb05ada0482273388ed4ec228d79f77309ea3f47bb05ada0482273388ed4ec2。 

e 向 CA 申请 本 地 证 书 时 的 挑战 密码 ， 本 示 假 设 例 为 : 6AE73F21E6D3571D。 

2. 具体 配置 步骤 

(1) 配置 路 由 器 的 接口 卫 地 址 ， 以 及 到 达 CA 服务 器 的 静态 路 由 。 假 设 下 一 跳 IP 
地 址 为 11.1.1.2/24。 当 然 在 公 网 端 设 备 上 也 要 配置 到 达 路 由 器 的 路 由 。 


<Huawei> System-view 

[Huawel]l sysname Router 

[Router] interface gigabitethernet 1/0/0 
[Router-GlgabitEthernetl/0/0] ip address 11.1.1.1 255.255.255.0 
[Router-GigabitEthernetl/0/0] quit 

[Router] ip route-static 11.137.145.0 255.255.255.0 11.1.1.2 


(2) 配置 PKI。 
# 配置 PKI 实体 ， 标识 申请 证 书 PKI 实体 的 身份 信息 。 在 多 数 情 况 下 ， 只 需要 执行 
前 面 3 步 即 可 。 


[Router] pki entity users ”#-- 创 建 PKI 实体 

[Router-pki-entity-users] common-name hello ”# -- 配 置 PKI 实体 的 通用 名 
[Router-pki-entity-users] country cn 

[Router-pki-entity-users] state jiangsu 

[Router-pki-entity-users] organization huaweli 

[Router-pki-entity-users] organization-unit info 

[Router-pki-entity-users] quit 





实体 名 和 实体 通用 名 如 果 没 有 配置 为 设备 访问 CA 出 接口 的 卫 地 址 11.1.1.1， 在 
使 用 HTTPS 打开 网 页 的 时 候 会 提示 “证 书 不 合法 ”， 但 这 不 会 影响 正常 使 用 。 
# 配置 PKI 域 ， 指 定 信 任 的 CA， 配置 CA 证 书 的 数字 指纹 及 算法 。 


[Router] pki realm users 
[Router-pki-realm-users| entity users 
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[Router-pki-realm-users] ca id ca_root 
[Router-pki-realm-users] fingerprint sha2 7bb05ada0482273388ed4ec228d79f77309ea3f47bb05ada0482273388ed4ec2 
[Router-pki-realm-users] quit 
(3) 创建 RSA 密 钥 对 。RSA 密 钥 对 名 称 为 rsa_scep， 在 创建 提示 输入 密 钥 倍数 时 输 
入 2048， 并 设置 为 可 以 从 设备 上 导出 (命令 中 带 exportable 选项 )， 用 于 把 其 中 的 公 铀 
发 给 对 端 设备 ， 实 现 对 本 病 设 备 的 验证 。 
[Router] pki rsa local-key-pair create rsa_ scep exportable 
Info: The name of the new key-pair will be: rsa_scep 
The size of the public key ranges from 512 to 4096. 
Input the bits in the modules:2048 
Generating key-palts.. Ft 


PT 


(4) 通过 SCEP 协议 申请 和 更 新 证 书 。 

本 示例 假设 采用 通过 SCEP 协议 自动 为 路 由 器 申请 、 更 新 本 地 证 书 。 更 新 时 间 是 在 
现 有 证 书 有 效 期 达到 60% 时 就 开始 更 新 ， 而 且 指 定 更 新 证 书 会 目 动 重新 创建 20148 位 的 
RSA 密 钥 对 。 人 至 于 癌 CA 发 送 证 书 申请 请 求 消息 时 所 采用 的 数字 签名 算法 ， 可 不 配置 ， 
缺 省 为 SHA-256， 但 必须 与 CA 上 所 使 用 的 签名 算法 保持 一 致 。 

[Router-pki-realm-users] enrollment-url http:/11.137.145.158:8080/certsrv/mscep/mscep.dll ra 

#--- 指 定 访问 CA 服务 器 的 URL 地 址 ， 并 且 指定 由 RA 进行 审核 PKI 实体 申请 本 地 证 书 时 的 身份 信息 

[Router-pki-realm-users] rsa local-key-pair rsa_scep #--- 指 定 通过 SCEP 协议 申请 本 地 证 书 时 所 使 用 的 RSA 密 钥 对 名 称 
为 rsa_scep， 即 上 一 步 所 创建 的 RSA 密 钥 对 

[Router-pki-realm-abc] enrollment-request signature message-digest-method sha-384 #--- 配 置 在 向 CA 发 送 申请 证 书 
请 求 时 利用 自己 私 钥 对 消息 进行 签名 时 所 用 的 摘要 算法 为 SHA-384 

[Router-pki-realm-users] password cipher 6AE73F21E6D3571D #--- 配 置 挑战 密码 , 用 于 CA 服务 器 验证 申请 者 的 身份 

[Router-pki-realm-users] auto-enroll 60 regenerate 2048 #--- 开 启 证 书 自动 注册 和 更 新 功能 ， 指 定 证 书 密 钥 长 度 为 
2048 位 ， 在 有 效 期 到 60% 时 自动 更 新 并 同时 更 新 RSA 密 钥 

[Router-pki-realm-users] quit 

通过 以 上 配置 就 可 以 从 CA 服务 器 通过 SCEP 协议 自动 问 CA 服务 器 申请 注册 本 地 
证 书 。 在 申请 的 过 程 中 ， 设 备 会 先 获取 CA 证 书 并 自动 安装 〈 导 入 内 存 ) CA 证 书 ， 然 
后 再 获取 本 地 证 书 并 目 动 安装 本 地 证 书 。 获 取 的 CA 证 书 和 本 地 证 书 名 称 分 别 为 users_ 
ca.cer 和 users local.cer。 

本 地 证 书 申请 成 功 后 ， 可 通过 执行 display pki certificate local 命令 查看 已 经 导入 内 
存 的 本 地 证 书 的 内 容 。 

[Router] display pki certificate local realm users 

The x509 object type is certificate: 
Certificate: 
Data: 
Version: 3 (0x2) ”#-- 本 地 证 书 使 用 的 X.509 协议 版 本 号 为 3 
Serial Number:  #--- 本 地 证 书 序列 号 
48:65:aa:2a:00:00:00:00:3f:c6 
Signature Algorithm: shal WithRSAEncryption ” #--- 本 地 证 书签 名 算法 为 SHA1 
Issuer: CN=ca_root #--- 本 地 证 书 颁发 者 名 称 为 ca_root 
Validity #--- 本 地 证 书 的 有 效 期 
Not Before: Dec 21 11:46:10 2015 GMT 
Not After : Dec 21 11:56:10 2016 GMT 
Subject: C=CN, ST=jiangsu, O=huawei, OU=info, CN=hello”#--- 本 地 证 书 主题 字段 内 容 
Subject Public Key Info: #--- 本 地 证 书 公 钥 信息 
Public Key Algorithm: rsaEncryption #--- 本 地 证 书 公 钥 算法 为 RSA 
Public-Key: (2048 bit) #-- 本 地 证 书 公 钥 为 2048 位 
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Modulus: #--- 本 地 证 书 公 钥 
00:94:6f:49:bd:6a:f3:d5:07:ee:10:ee:4f:d3:06: 
80:59:15:cb:a8:0a:b2:ba:c2:db:52:ec:e9:d1:a7: 
72:de:ac:35:df:bb:e0:72:62:08:3e:c5:54:c1:ba: 
4a:bb:1b:a9:d9:dc:e4:b6:4d:ca:b3:54:90:b6:8e: 
1S:a3:6e:2d:b2:9e:9e:7a:33:b0:56:3f:ec:be:67: 
lc:4c:59:c6:67:0f:a7:03:52:44:8c:53:72:42:bd: 
6e:0c:90:5b:88:9b:2c:95:f7:b8:89:d1:c2:37:3e: 
93:78:fa:cb:2c:20:22:5fre$:9c:61:23:7b:c0:e9: 
fe:b7:e6:9c:al:49:0b:99:ef:16:23:e9:44:40:6d: 
94:79:20:58:d7:el:$1:al:a6:4b:67:44:f7:07:71: 
S54:93:4e:32:ff:98:b4:2b:fa:5d:b2:3c:5b:df:3e: 
23:b2:8a:1a:75:7e:8f:82:58:66:be:b3:3c:4a: 1c: 
2c:64:d0:3f:47:13:d0:5a:29:94:e2:97:dc:f2:d1: 
06:c9:7e:54:b3:42:2e:15:b8:40:f3:94:d3:76:al: 
91:66:dd:40:29:c3:69:70:6d:5a:b7:6b:91:87:e8: 
bb:cb:a$:7e:ec:a$:31:11:f3:04:ab:1a:ef:10:e6: 
fl:bd:d9:76:42:6c:2e:bf:d9:91:39:1d:08:d7:b4: 
18:53 

Exponent: 65537 (Ox10001) 


X509v3 extensions: 


XS09v3 Subject Alternative Name: 


IP Address:10.2.0.2, DNS:test.abc.com, email:user(@test.abc.com 


X509v3 Subject Key Identifier: 


15:D1:F6:24:EB:6B:C0:26:19:58:88:91:8B:60:42:CE:BA:D5:4D:F3 


XS09v3 Authority Key Identifier: 


keyid:B8:63:72:A4:S5E:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C5 


XS09v3 CRL Distribution Ponts: 


Full Name: 


URI:file:/N\vasp-e6000-127.china.huawei.com\CertEnroll\ca root.crl 


URI:http://10.3.0.1:8080/certenroll/ca root.crl 


Authority Information Access: 


CA Issuers - URI:http://vasp-e6000-127.china.huawei.com/CertEnro 


ll/vasp-e6000-127.china.huawei.com ca root.crt 


OCSP - URI:file:/M\vasp-e6000-127.china.huawei.com\CertEnroll\v 


asp-e6000-127.china.huawei.com ca root.crt 


L361.4731120.7 
0.LP.S.E.C.Ln.t.e.r.m.e.d.i.a.t.e.O.f.f.l.i.n.e 


Signature Algorithm: shal WithRSAEncryption 


#--- 本 地 证 书 的 RSA 数字 签名 (由 CA 证 书 私 钥 生 成 ) 


d2:be:a8:52:6b:03:ce:89:f1:5b:49:d4:eb:2b:9f:fd:59:17: 
d4:3c:fl:db:4f:1b:d1:12:ac:bf:ae:59:b4:13:1b:8a:20:d0: 
$52:6a:f8:a6:03:a6:72:06:41:d2:a7:7d:3f:51:64:9b:84:64: 
cf:ec:4c:23:0a:fl:57:41:53:eb:f6:3a:44:92:f3:ec:bd:09: 
75:db:02:42:ab:89:fa:c4:cd:cb:09:bf:83:1d:de:d5:4b:68: 
8a:a6:5f:7a:e8:b3:34:d3:e8:ec:24:37:2b:bd:3d:09:ed:88: 
d8:ed:a7:f8:66:aa:6f:b0:fe:44:92:d4:c9:29:21:1c:b3:7a: 
65:51:32:50:5a:90:fa:ae:el:19:5f:c8:63:8d:a8:e7:c6:89: 
2e:6d:c8:Sb:2c:0c:cd:41:48:bd:79:74:0e:b%8:2f:48:69:df: 
02:89:bb:b3:59:91:7f:6b:46:29:7e:22:05:8c:bb:6a:7e:f3: 
11:5a:Sf:fb:65:$1:7d:35:ff:49:9e:ec:dl1:2d:7e:73:e5:99: 
c6:41:84:0c:50:11:ed:97:ed:15:de:11:22:73:a1:78:11:2e: 
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34:e6:f5:de:66:0c:ba:d5:32:af:b8:54:26:4f:5b:9e:89:89: 
2a:3fb8:96:27:00:c3:08:3a:e9:e8:a6:ce:4b:$a:e3:97:9e: 
6b:dd:f0:72 


Pki realm name: users #--- 本 地 证 书 所 属 PKI 域 为 users 
Certificate file name: users local.cer #--- 本 地 证 书 文件 名 为 users_local.cer 


Certificate peer name: - 
还 可 通过 执行 display pki certificate ca 命令 查看 已 经 导入 内 存 的 CA 证 书 的 内 容 。 
必须 先 成 功 下 载 到 了 CA 证 书 才 能 最 后 成 功 申请 本 地 证 书 。 
[Router] display pki certificate ca realm users 
The x509 object type 1s certificate: 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
Qc:f0:1a:f3:67:21:44:9a:4a:eb:ec:63:75:5d:d7:5f 
Signature Algorithm: shal WithRSAEncryption 
Issuer: CN=ca root 
Validity 
Not Before: Jun 4 14:58:17 2015 GMT 
Not After : Jun 4 15:07:10 2020 GMT 
Subject: CN=ca root 
Subject Public Key Info: #---CA 证 书 的 公 钥 信息 
Public Key Algorithm: rsaEncryption 

Public-Key: (2048 bit) 

Modulus: 
00:d9:5f:2a:93:cb:66:18:59:8c:26:80:db:cd:73: 
d5:68:92:1b:04:9d:cf:33:a2:73:64:3e:5f:fe:1a: 
33:78:0e:3d:e1:99:14:aa:86:9b:c3:b8:33:ab:bb: 
76:e9:82:f6:8f:05:cf:f6:83:8e:76:ca:ff:7d:f]: 
be:22:74:5Se:8f:4c:22:05:78:d5:d6:48:8d:82:a7: 
$d:el:4c:a4:a9:98:ec:26:a1:21:07:42:e4:32:43: 
ff:b6:a4:bd:$Se:4d:df:8d:02:49:5d:aa:cce:62:6c: 
34:ab:14:b0:f1:58:4a:40:20:ce:be:a5:7b:77:ce: 
a4:1d:52:14:11:fe:2a:d0:ac:ac:16:95:78:34:34: 
21:36:[D:c7:66:2a:14:31:28:de:7f.7e:10:12:e5: 
6b:29:9a:e8:fb:73:b1:62:aa:7e:bd:0$:e5:c6:78: 
6d:3c:08:4c:9c:3f:3b:e0:e9:f2:fd:cb:9a:d1:b7: 
de:1e:84:f4:4a:7d:e2:ac:08:15:09:cb:ee:82:4b: 
6b:bd:c6:68:da:7e:c8:29:78:13:26:e0:3c:6c:72: 
39:c5:f8:ad:99:e4:c3:dd:16:b5:2d:7f:17:e4:fd: 
e4:51:7a:e6:86:f0:e7:82:2f:55:d1:6f:08:cb:de: 
84:da:ce:ef:b3:b1:d6:b3:c0:56:50:d5:76:4d:c7: 
fb:75 

Exponent: 65537 (0x10001) 

X509v3 extensions: 

1.3.6.1.4.1.311.20.2: 
CA 

X309v3 Key Usage: critical 
Digital Signature, Certificate Sign, CRL Sien 

XSO90v3 Basic Constraints: critical 
CA:TRUE 

X509v3 Subject Key Identifier: 
B8:63:72:A4:SE:19:F3:B1:1D:71:E1:37:26:E1:46:39:01:B6:82:C5 
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XS09v3 CRL Distribution Points: 


Full Name: 
URI:http://vasp-e6000-127.china.huawei.com/CertEnroll/ca root crl 
URI:file:/M\vasp-e6000-127.china.huawei.com\CertEnroll\ca root.crl 


13.0141311211: 


Signature Algorithm: shal WithRSAEncryption  #---CA 证 书 的 数字 签名 (由 CA 证 书 的 私 钥 自 签名 生成 ) 
52:21:46:b8:67:c8:c3:4a:e7:f8:cd:el1:02:d4:24:a7:ce:50: 
be:33:af:8a:49:47:67:43:f9:7f:79:88:9c:99:f5:87:c9:ff: 
08:0f:f3:3b:de:f9:19:48:e5:43:0e:73:c7:0f:ef:96:ef:$a: 
Sf:44:76:02:43:83:95:c4:4e:06:5e:11:27:69:65:97:90:4f: 
04:4a:1e:12:37:30:95:24:75:c6:a4:73:ee:9d:c2:de:ea:e9: 
05:c0:a4:fb:39:ec:5c:13:29:69:78:33:ed:d0:18:37:6e:99: 
bce:45:0e:a3:95:e9:2c:d8:50:fd:ca:c2:b3:5a:d8:45:82:6e: 
ec:cc:12:a2:35:f2:43:a5:ca:48:61:93:b9:6e:fe:7c:ac:41: 
bf:88:70:57:fc:bb:66:29:ae:73:9c:95:b9:bb:1d:16:f7:b4: 
6a:da:03:df:56:cf:c7:c7:8c:a9:19:23:61:5b:66:22:6f:7e: 
1d:26:92:69:53:c8:c6:0e:b3:00:ff:54:77:5e:8a:b5:07:54: 
fd:18:39:0a:03:ac:1d:9f:1f:al:eb:b9:f8:0d:21:25:36:d5: 
06:de:33:fa:7b:c8:e9:60:f3:76:83:bf:63:c6:dce:cl1:2c:e4: 
$58:b9:cb:48:15:d2:a8:fa:42:72:15:43:ef:55:63:39:58:77: 


e8:ae:0f:34 
Pki realm name: users #---CA 证 书 所 属 PKI 域 为 users 
Certificate file name: users_ca.cer #---CA 证 书 的 文件 名 为 users_ca.cer 
Certificate peer name: - 


由 于 在 配置 auto-enroll 命令 时 选择 了 regenerate 可 选项 , 在 本 地 证 书 更 新 时 系统 会 
生成 新 的 RSA 密 钥 对 去 申请 新 证 书 , 而 且 当 系统 检测 到 时 间 已 经 超过 了 配置 的 当前 证 书 
有 效 期 的 60% 之 后 ， 就 会 辐 CA 发 起 本 地 证 书 的 更 新 请 求 。 

(5) 配置 SSL 服务 器 策略 。 

本 示例 就 是 要 把 所 创建 的 SSL 服务 器 策略 与 前 面 配置 的 PKI 域 进行 关联 ， 使 得 该 
SSL 服务 器 策略 使 用 指定 PKI 域 中 的 数字 证 书 进行 喘 份 认证 。 男 外 在 本 示例 中 还 配置 了 
所 支持 SSL 会 话 的 最 大 数目 ， 以 及 每 个 SSL 会 话 可 持续 的 最 长 时 间 。 


[Router] ssl policy sslserver type server 
[Router-ssl-policy-sslserver] pki-realm users #--- 配 置 SSL 服务 器 策略 所 属 的 PKI 域 
[Router-ssl-policy-sslserver] session cachesize 40 timeout 7200 #--- 配 置 保存 会 话 的 最 大 数目 和 最 大 时 长 


[Router-ssl-policy-sslserver| quit 


(6) 配置 HTTPS 服务 器 。 

HTTPS 服务 器 的 配置 很 简单 ， 只 需 指 定 所 使 用 的 SSL 服务 器 策略 ， 并 使 能 HTTPS 
服务 器 功能 即 可 。 在 本 示例 中 ,为 了 避免 与 其 他 基于 SSL 的 应 用 相 冲 突 ， 此 处 把 HTTPS 
服务 器 所 使 用 的 端口 改 为 1278。 


[Router] http secure-server ssl-policy sslserver #--- 配 置 HTTPS 服务 器 关联 的 SSL 策略 为 sslserver 
[Router] http secure-server enable  #-- 使 能 Router 的 HTTPS 服务 器 功能 
[Router] http secure-server port 1278 “”# -- 配 置 HTTPS 服务 的 端口 号 


3. 配置 结 末 验证 
以 上 配置 全 部 完成 后 ， 可 在 任意 视图 下 执行 display ssl policy sslserver 命令 ， 查 看 
SSL 服务 器 策略 sslserver 的 配置 信息 。 
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[Router] display ssl policy sslserver 


ee ee ee ee ee ee ee ee ee ee ee ee ee eT 


Policy name : sslserver 
Policy ID 4 
Policy type :Server 
Cipher suite :Tsa aes 128 cbe sha 
PKI realm :sos 
Version sj 
Cache number : 40 
Time out(second) :7200 
Server certificate load status : loaded 
CA certificate chain load status : loaded 
SSL renegotiation status : enable 
Bind number | 
SSL connection number “0 


此 时 ， 用 户 在 终 问 (比如 PC) 打开 浏览 器 ， 在 地 址 栏 中 输入 HTTP 服务 器 的 全 地 
址 《市 上 痛 口 号 )“https:/11.1.1.1:1278”， 即 可 以 HTTPS 的 方式 访问 Web 网 管 页 面 ， 用 
户 后 续 可 以 利用 Web 网 管 页 面 安 全 访问 和 管理 路 由 器 。 如 果 路 由 器 作为 SSL VPN 网 关 ， 
则 用 户 可 通过 路 由 器 访问 它 所 连接 的 企业 内 部 网 络 资源 。 有 关 SSL VPN 网 关 的 配置 方法 
”将 在 9.4 节 介 绍 。 


9.4 SSLVPN 配置 与 管理 


通过 第 8 章 的 PKI 配置 , 设备 获取 了 本 地 数字 证 书 , 通过 本 章 前 面 配 置 好 了 SSL 服 
务 占 策略 ,并 把 设备 配置 为 HTTPS 服务 器 后 , 接 下 来 就 可 以 正式 配置 SSL VPN 功能 
使 设备 担当 SSL VPN 网 关 角 色 ， 供 远程 用 户 通 过 HTTPS 安全 访问 。 

在 SSL VPN 的 配置 中 主要 就 是 SSL VPN 网 关 的 配置 ， 配 置 任务 如 下 : 

。 配置 SSL VPN 的 侦 听 端口 号 ; 

。 创建 远程 用 户 的 用 户 信息 ; 

。 配置 SSL VPN 虚拟 网 关 基 本 功能 ; 

。 配置 SSL VPN 业务 ; 

。 管理 SSL VPN 远程 用 户 ; 

。 《可 选 ) 配置 个 性 化 定制 Web 页面 元 素 ; 

下 面 分 别 介 绍 以 上 配置 任务 的 具体 配置 方法 。 


9.4.1 配置 SSLVPN 的 侦 听 端 口号 


缺 省 情况 下 ，Web 网 管 和 SSL VPN 业务 的 侦 听 端口 号 都 是 TCP 443 。 为 避免 与 Web 
网 管 业务 冲突 ， 可 以 修改 SSL VPN 的 侦 听 端口 号 。 

修改 SSL VPN 的 侦 听 端口 号 的 方法 是 在 系统 视图 下 执行 sslvpn server port port 命 
令 ， 取 值 范 围 是 443 或 1025 一 5$1200 的 整数 。 
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忆 置 SSL VPN 的 侦 听 端口 号 前 ， 需 要 确保 设备 上 所 有 的 SSLVPN 虚拟 网 关 都 处 
于 去 使 能 状态 。 当 修改 SSL VPN 业务 的 端口 号 后 ， 后 续 用 户 登 录 SSL VPN 网 关 时 ， 输 
入 的 URL 地 址 携带 的 端口 号 必须 为 修改 后 的 端口 号 。 如 原来 SSL VPN 网 关 的 访问 地 址 
为 : https:/202.1.1.9/gateway1l1， 修 改 侦 听 端口 号 为 1025 时 ， 则 远程 用 户 在 地 址 栏 输 入 的 
URL 地 址 应 该 为 : https://202.1.1.9:1025/gateway1。 


9.4.2 ”创建 SSL VPN 远程 用 户 


配置 SSL VPN 远程 用 户 信 息 时 ， 需 要 配置 AAA 认证 和 授权 方案 ， 可 以 使 用 本 地 或 
者 RADIUS AAA 方案 ， 但 认证 和 授权 的 方式 必须 一 致 。 一 般 采 用 配置 简单 的 本 地 AAA 
方案 ， 有 关 AAA 方案 的 详细 配置 方法 请 参见 《华为 交换 机 学 习 指 南 》 一 书 。 

配置 好 AAA 方案 后 , 远程 用 户 登 录 SSL VPN 网 关 Web 页 面 时 ， 需 要 输入 用 户 名 和 
密码 进行 身份 验证 ， 设 备 认 证 通过 后 ， 才 允许 远程 用 户 登录 虚拟 网 关 ， 获 得 授权 的 内 网 
资源 服务 。 

在 此 仅 以 本 地 AAA 方案 〈 采 用 缺 省 的 default 域 ) 进行 介绍 ， 配 置 步 骤 见 表 9-3。 
如 果 要 采用 其 他 AAA 域 , 则 可 用 domian 命令 新 建 ， 然 后 为 所 创建 的 用 户 加 上 对 应 的 域 
名 ， 并 在 后 面 介 绍 的 SSL VPN 虚拟 网 关上 绑 定 对 应 的 AAA 域 即 可 。 


表 9-3 配置 SSL VLN 远程 用 户 本 地 AAA 方案 的 步 又 





System-view i 
例如 : <Huawei> system-view 进入 系统 视图 
2 2 进入 AAA 视图 


例如 : [Huawei] aaa 


创建 SSL VPN 用 户 账户 ， 并 配置 账户 密码 。 命令 中 的 参数 
和 选项 说 明 如 下 。 

。 user-name: 指定 用 户 名 ， 字 符 串 形式 ， 不 区 分 大 小 写 ， 
长 度 范 围 是 1 一 233， 不 支持 空格 、 星 号 、 双 引号 和 问号 。 
如 果 用 户 名 中 融 域 名 分 隔 符 ， 如 @， 则 认为 @ 前 面 的 部 分 
是 用 户 名 ， 后 面部 分 是 域名 ;如果 没有 @， 则 整个 字符 串 
为 用 户 名 ， 域 为 默认 域 default。 

local-user user-name password | 。cipher: 二 选 一 选项 ， 表 示 对 用 户口 令 采 用 可 逆 算 法 进 
ae Ireverspleepher} | 行 加 密 ， 非 法 用 户 可 以 通过 对 应 的 解密 算法 解密 密 文 后 得 

到 明文 密码 ， 安 全 性 较 低 。 
。 irreversible-cipher: 二 选 一 选项 ， 表 示 对 用 户 密码 采用 


\ 


例如 : [Huawei-aaa] local-user 
winda password cipher ee | elo 
admin@1234 不 可 逆 算 法 进行 加 密 ， 使 非法 用 户 无 法 通过 解密 算法 特殊 
处 理 后 得 到 明文 密码 ， 为 用 户 提供 更 好 的 安全 保障 。 


e。 password: 指定 本 地 用 户 登 录 密 码 ， 字 符 串 形式 ， 区 分 
大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 空格 。 选 择 cipher 选 
项 时 , 密码 长 度 范围 既 可 以 是 8 一 128 位 的 明文 密码 , 也 可 
以 是 48~188 位 的 密 文 密码 ; 如 果 选 择 irreversible-cipher 
选项 ,密码 长 度 范围 既 可 以 是 8 一 128 位 的 明文 密码 , 也 可 
以 是 68 位 的 密 文 密码 。 
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( 续 表 ) 
nl 
【注意 】 为 了 防止 密码 过 于 简单 导致 的 安全 隐患 ， 用 户 


local-user user-name password | 输入 的 明 文 密 码 必 须 包 括 大 写字 母 、 小 写字 母 、 数 字 和 
{cipher | irreversible-cipher } | 特殊 字符 中 至 少 两 种 , 且 不 能 与 用 尸 名 或 用 户 名 的 倒 写 


password 相同 。 

有 例如 : [Huawei-aaa] local-user | 缺 省 情况 下 , 系统 中 存在 一 个 名 称 为 “admin” 的 本 地 用 户 ， 
winda password cipher 该 用 户 的 密码 为 “Admin@huawei” 采用 不 可 道 算法 加 密 ， 
admin(@1234 用 户 级 别 为 15 级 (最 高 级 别 ), 服务 类 型 为 http, 可 用 undo 

local-user user-name 命令 删除 指定 本 地 用 户 
| 配置 以 上 远程 用 户 的 类 型 为 SSL VPN, 使 其 支持 SSL VPN 
local-user user-name servVvice- 接 入 类 型 。 

| 缺 省 情况 下 ， 远 程 用 户 可 以 使 用 所 有 的 接 入 类 型 ， 可 用 
例如 : [Huawei-aaa] local-user NE Dy : 


总 要 inAa, 人 全- 人 、 已 
winda service-type sslvpn undo local-user user-name service-type 命令 将 指定 本 地 用 


户 的 接 入 类 型 恢复 为 缺 省 配置 





9.4.3 ”配置 SSL VPN 虚拟 网 关 基 本 功能 


在 设备 上 配置 SSL VPN 虚拟 网 关 功 能 ， 可 以 将 一 合 设备 模拟 为 多 全 虚拟 网 关 设 备 ， 
满足 各 远程 用 户 的 不 同类 型 的 访问 需求 。 如 图 9-11 所 示 ， 对 应 企业 的 远程 用 户 只 能 访问 
对 应 的 虚拟 网 关中 列 出 的 资源 ， 并 且 不 同 企 业 在 管理 和 使 用 上 不 受 影响 。 在 设备 上 创建 
虚拟 网 关 A、 虚 拟 网 关 B 和 虚拟 网 关 C， 分 别 对 应 于 不 同 企 业 的 远程 用 户 ， 然 后 将 三 个 
虚拟 网 关 地 址 分 别 各 知 对 应 的 远程 用 户 ， 使 远程 用 己 通 过 浏览 器 访问 各 目的 企业 内 网 资 
源 。 图 中 不 同 企业 的 远程 用 户 也 可 以 是 同一 企业 中 不 同类 型 的 远程 用 户 ， 分 别 根据 不 同 
的 虚拟 网 天 访问 对 应 权限 的 资源 。 


~ Internet 








a 
” 


SSL VPN 网 关 
GEO/O/1 


二 
” 





-一 一 -> 远程 用 户 访问 通道 
TOO 
ea 
GE0/0/2 
业内 网 资源 接口 


图 9-11 一 人 台 设 备 模拟 为 多 个 虚拟 网 关 的 示例 










如 果 不 需 要 配置 多 个 虚拟 网 关 时 ， 则 也 可 只 配置 一 个 虚拟 网 关 ， 有 具体 的 配置 步骤 见 
表 9-4。 


二 华为 VPN 学 习 指 南 


配置 SSL VLN 虚拟 网 关 的 步骤 
gg — Re 





进入 系统 视图 


创建 虚拟 网 关 并 进入 虚拟 网 关 视 图 。 参 数 gateway-name 
用 来 指定 虚拟 网 关 的 名 称 ， 字 符 串 形式 ， 不 支持 空格 ， 区 
分 大 小 号 ,长 度 范围 是 1~31; 且 不 能 包 合 字符 *?<>[]”。 
2 例如 : [Huawei] sslvpn gateway | 不 同 AR 系列 路 由 器 可 文 持 的 虚拟 网 关 数 不 同 ， 最 多 支持 
lycb 4 个， 最 少 仅 1 个 。 

缺 省 情况 下 ， 系 统 没有 创建 虚拟 网 关 ， 可 用 undo sslvpn 
gateway gateway-name 命令 删除 指定 的 虚拟 网 关 

配置 虚拟 网 关连 接 内 网 资源 的 接口 , 通过 该 接口 实现 虚拟 
网 关 与 企业 内 网 服务 器 的 通信 。 


System-view 
例如 : <Huawei> system-view 


sslvpn gateway gateway-name 


intranet interface interface- 
type interface-number 

例如 : [Huawei-sslvpn-lycb] 
intranet interface 


gigabitethernet 2/0/0 


bind domain domain-name 
例如 : [Huawei-sslvpn-lycb] 
bind domain admin 


enable 
例如 : [Huawei-sslvpn-lycb] 
enable 





【注意 】 虚 拟 网 关 对 应 的 内 网 接口 为 三 层 接口 ， 且 接口 必 
须 配 置 IP 地 址 。 使 能 SSL VPN 虚拟 网 关 基 本 功能 后 ， 管 
理 员 如 果 要 修改 虚拟 网 关 对 应 的 内 网 接口 ， 必 须 先 执行 
undo enable 命令 去 使 能 SSL VPN 虚拟 网 关 基 本 功能 . 
缺 省 情况 下 ， 虚 拟 网 关 没 有 配置 连接 内 网 资源 的 接口 ， 可 
用 undo intranet interface 命令 删除 虚拟 网 关 对 应 的 内 网 
接口 

配置 虚拟 网 关 绑 定 AAA 域 , 必须 与 SSL VPN 用 户 中 配置 
的 AAA 域 一 致 。 如 果 在 创建 SSL VPN 用 户 时 指定 采用 系 
统 缺 省 的 AAA 域 ， 则 此 处 绑 定 的 AAA 域 为 default。 
【注意 】 使 能 SSL VPN 虚拟 网 关 的 基本 功能 后 ， 如 果 要 修 
改 虚 拟 网 关 绑 定 的 AAA 域 ， 必 须 先 执行 undo _ enable 命 
令 去 使 能 SSLVPN 虚拟 网 关 的 基本 功能 。 

缺 省 情况 下 , 虚拟 网 关 没 有 绑 定 AAA 域 , 可 用 undo bind 
domain 命令 取消 虚拟 网 关 绑 定 AAA 域 

使 能 SSL VPN 虚拟 网 关 的 基本 功能 。 

缺 省 情况 下 ， 系 统 未 使 能 SSL VPN 虚拟 网 关 的 基本 功能 ， 
可 用 undo enable 命令 去 使 能 SSL VPN 虚拟 网 关 的 基本 功 
能 ， 此 时 对 应 AAA 域 中 原来 在 线 的 用 户 将 会 被 迫 下 线 


9.4.4 ”配置 SSL VPN 业务 


华为 AR 系列 路 由 器 作为 SSL VPN 网 关 时 ,支持 三 种 业务 类 型 Web 人 代理、 端口 转 
发 和 网 络 扩 展 ， 分 别 对 应 于 Web 接 入 、TCP 接 入 、IP 接 入 三 种 不 同 的 远程 用 户 权 限 接 
入 企业 内 网 。 远 程 用 户 通过 不 同 的 接 入 方式 ， 可 以 访问 不 同类 型 的 企业 内 网 资源 。 

三 种 SSL VPN 业务 都 是 在 虚拟 网 关 视 图 下 配置 , 根据 业务 需求 , 可 以 在 同一 虚拟 网 
关 视 图 下 选择 配置 其 中 一 种 业务 或 多 种 业务 。 

1. 配置 Web 代理 业务 

SSL VPN 网 关 利用 Web 代理 业务 ， 代 理 远 程 用 户 对 企业 内 网 Web 服务 器 的 访问 ， 
为 远程 用 户 访 问 企 业内 网 Web 服务 器 提供 了 安全 的 连接 。 

在 设备 上 配置 Web 代理 业务 时 ， 需要 指定 可 以 访问 的 企业 内 网 Web 服务 器 URL 地 
址 ， 并 指定 该 Web 代理 的 实现 方式 。 一 个 Web 代理 业务 中 只 能 配置 一 个 URL 地 址 ， 如 
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果 存 在 多 个 企业 内 网 Web 服务 器 ， 则 需要 配置 多 个 Web 代理 业务 。 


Web 代理 有 两 种 实现 方式 。 


(1) URL 改写 : 较为 常用 的 方式 


SSL VPN 网 关 显 示 给 远程 用 户 的 内 部 网 站 资源 链接 是 经 过 SSL VPN 网 关 改 写 后 的 
URL。 远 程 用 户 点 击 该 网 站 资源 链接 后 ，SSL VPN 网 关 将 远程 用 户 访问 的 URL 修改 为 
指向 SSL VPN 网 关 的 URL。SSL VPN 网 关 需 要 对 Web 服务 器 响应 远程 用 户 的 每 个 页 面 


中 的 URL 进行 改写 ， 其 他 内 容 不 变 。 


(2) Web-tunnel: 通过 端口 转发 原理 实现 
远程 终端 需要 安装 Java 插件 , SSL VPN 网 关 显 示 给 远程 用 户 的 内 部 网 站 资源 链接 是 
内 网 真实 的 URL。 远程 用 户 点 击 该 网 站 资源 链接 后 ，Java 插件 会 自动 为 该 报 文 增加 一 个 
目的 地 址 是 SSL VPN 网 关 的 外 层 隧 道 ， 并 通过 HTTP 请 求 协议 发 送 给 SSL VPN 网 基 。 


SSLVPN 网 关 在 收 到 HTTP 请 求 后 ， 


送 给 内 部 Web 服务 器 。 


还 原 为 原始 的 用 户 HTTP 请求， 并 将 HTTP 请 求 发 


Web 代理 业务 的 配置 步骤 见 表 9-5。 





sslvpn gateway gateway-name 
2 例如 : [Huaweil] sslvpn 
gateway lycb 


service-type web-proxy 
resource resource-name 

3 例如 : [Huawei-sslvpn-lycb] 
service-type web-proxy 
resource web 


link ur/ [ web-tunnel | 


4 例如 : [Huawei-sslvpn-lycb-wp- 
res-web] link http://10.0.0.1/ 


表 9-5 配置 Web 代理 业务 的 步骤 


system-view 、 
入 系统 视 
例如 : <Huawei> system-view 进入 系统 视图 








进入 对 应 虚拟 网 关 视 图 


创建 Web 代理 业务 并 进入 Web 代理 业务 视图 。 参 数 
resource-name 用 来 指定 业务 类 型 的 名 称 ， 字 符 串 形式 ， 
不 文 持 空格 ， 区 分 大 小 写 ， 长 度 范围 是 1~31， 且 不 能 
含 字符 “? <> []”。 当 输入 的 字符 串 两 端 使 用 双 引 号 时 ， 
可 在 字符 串 中 输入 空格 。 

缺 省 情况 下 , 虚拟 网 关 没 有 配置 Web 代理 业务 ,可 用 undo 
service-type Web-proxy resource 命令 删除 Web 代理 业务 
配置 企业 内 网 Web 服务 器 的 URL 地 址 和 该 Web 代理 的 实 
现 方式 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

e。 url: 指定 内 网 Web 服务 器 的 URL 地址， 字符 串 形式 ， 
不 支持 空格 ， 区 分 大 小 写 ， 必 须 以 “http: /” 开 头 ， 长 度 
范围 是 1 一 200， 且 不 能 包含 字符 “<> []? 

。 web-tunnel: 可 选项 ,指定 以 Web-tunnel 模式 访问 内 网 
Web 服务 器 。 如 果 不 选 择 此 可 选项 ， 则 表示 以 URL 改写 
方式 访问 内 网 Web 服务 器 。 

【 注意】 一 个 Web 代理 业务 只 能 配置 一 个 URL 地 址 ， 如 
果 存 在 多 个 内 网 Web 服务 器 ， 则 可 配置 多 个 Web 代理 业 
务 。 如 果 在 同一 个 Web 代理 业务 视图 下 重复 执行 本 命令 
时 ， 则 新 配置 将 履 盖 老 配 置 。 

缺 省 情况 下 ， 虚 拟 网 关 没有 配置 企业 内 网 Web 服务 器 的 
URL 地 第，Web 代理 采用 URL 改写 方式 , 可 用 undo link 
命令 删除 企业 内 网 Web 服务 器 的 URL 地 址 和 该 Web 代理 
的 实现 方式 | 
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(可 选 ) 配置 Web 代理 业务 的 描述 信息 ， 字 符 串 形式 ， 支 
持 空 格 ， 区 分 大 小 写 ， 长 度 范 围 是 1 一 80， 不 能 包含 “? 
<>[]”。 新 配置 将 覆盖 老 配 置 。 

缺 省 情况 下 ， 虚 拟 网 关 没 有 对 业务 进行 描述 ， 可 用 undo 
description 命令 删除 虚拟 网 关 业 务 的 描述 信息 





description description 
例如 : [Huawei-sslvpn-lycb- 
wp-res-webldescription this 
service 1s used to access the ftp 
SeTVeT 








2. 配置 端口 转发 业务 

通过 端口 转发 业务 ,远程 用 户 可 以 访问 企业 内 网 中 基于 TCP 协议 的 应 用 服务 , 包括 
远程 访问 服务 (如 Telnet)、 桌 面 共 享 服务 、 邮 件 服务 等 。 在 设备 上 配置 端口 转发 业务 时 ， 
需要 指定 企业 内 网 应 用 服务 器 的 地 址 /域名 和 端口 号 ,从 而 指定 远程 用 户 可 以 访问 的 企业 
内 网 应 用 服务 占 。 

远程 用 户 利用 端口 转发 业务 访问 企业 内 网 服务 器 时 , 不 需要 对 现 有 的 TCP 应 用 程序 
进行 升级 (但 需要 与 应 用 服务 器 上 基于 TCP 的 应 用 程序 的 端口 保持 一 致 )， 只 需 安 装 专 
用 的 Java 插件 (Java 插件 从 Web 访问 页 面目 动 下 载 ， 远 程 终端 需要 安装 Java 运行 环境 
JRE)， 由 Java 插件 使 用 SSL 连接 传送 应 用 层 数据 。 


端口 转发 业务 的 配置 步骤 见 表 9-6。 
表 9-6 ”配置 端口 转发 业务 的 步 又 





system-view 


例如 : <Huawei> system-view 


sslvpn gateway gateway-name 


例如 : [Huawei] sslvpn gateway 
lycb 


service-type port-forwarding 
resource resource-name 

例如 : [Huawei-sslvpn-lycb] 
service-type port-forwarding 
resource port 


server ip-address ip-address 
port port-number 

例如 : [Huawei-sslvpn-lycb-pf- 
res-port] server ip-address 1.1. 
1.1 port 23 





进入 系统 视图 


进入 对 应 虚拟 网 关 视 图 


创建 端口 转发 业务 并 进入 端口 转发 业务 视图 。 参 数 说 明 
参见 表 9-5 中 的 第 3 步 。 

缺 省 情况 下 , 虚拟 网 关 没有 配置 端口 转发 业务 ,可 用 undo 
service-type port-forwarding resource 命令 删除 端口 转发 
业务 


(二 选 一 ) 配置 端口 转发 业务 可 用 的 耳 地 址 和 端口 号 。 命 
令 中 的 参数 说 明 如 下 。 

。 ip-address: 指定 端口 转发 业务 可 用 的 卫 地 址 ， 即 内 网 
应 用 服务 器 的 IP 地 址 。 

。 port-number: 指定 端口 转发 业务 可 用 的 端口 号 ， 即 内 
网 应 用 服务 器 的 TCP 端口 号 。 

缺 省 情况 下 ， 虚 拟 网 关 没 有 配置 端口 转发 业务 可 用 的 人 P 
地 址 和 端口 号 ， 可 用 undo server ip-address 命令 删除 闫 
口 转发 业务 可 用 的 IP 地址 和 端口 号 
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( 续 表 ) 





(二 选 一 ) 配置 端口 转发 业务 可 用 的 域名 和 端口 号 。 命 令 
中 的 参数 说 明 如 下 。 
server name name port port- e。name: 指定 端口 转发 业务 可 用 的 域名 ， 即 内 网 应 用 服 
number E 务 器 的 域名 
4 例如 : [Huawei-sslvpn-lycb-pf- | 。 om-number， 指 定 端口 转发 业务 可 用 的 端口 号 ，。 
res-port] server name Www. P Ws We 
iHappy.com.cn port 23 缺 省 情况 下 ， 虚 拟 网 关 没 有 配置 端口 转发 业务 可 用 的 域 
名 和 端口 号 ， 可 用 undo server name 命令 删除 转发 业务 
可 用 的 域名 和 端口 号 


description description (可 选 ) 配置 端口 转发 业务 的 描述 信息 ， 字 符 串 形式 ， 文 
持 空 格 ， 区 分 大 小 写 ， 长 度 范围 是 1 一 80， 不 能 包含 “? 


例如 : [Huawei-sslvpn-users- ee 
3 wp-res-port]description this <> []”。 新 配置 将 履 盖 老 配 置 。 


service is used to access the ftp | 缺 省 情况 下 ， 虚 拟 网 关 没 有 对 业务 进行 描述 ， 可 用 undo 
server description 命令 删除 虚拟 网 关 业 务 的 描述 信息 





3. 配置 网 络 扩展 业务 

SSL VPN 网 关 通 过 网 络 扩 展业 务 ， 可 以 使 远程 终端 与 内 网 服务 器 在 网 络 层 实现 安全 
通信 ， 比 如 在 远程 终端 与 内 网 服务 器 之 间 实 现 文件 共享 ，ping、tracet 测试 等 ， 实 现 文件 
级 的 访问 。 

网 络 扩展 有 两 种 路 由 模式 。 

(1) 全 路 由 模式 

在 远程 终端 的 路 由 表 里 添 加 一 条 缺 省 路 由 ， 下 一 跳 为 虚拟 网 卡 的 卫 地 址 (SSL VPN 
网 关 为 虚拟 网 卡 分配 的 企业 内 网 卫 地 址 )。 远程 用 户 通过 SSL VPN 网 关 可 以 访问 网 络 扩 
展业 务 中 开放 的 网 段 资 源 。 

(2) 隧道 分 离 模 式 

将 配置 的 隧道 分 离 下 的 具体 路 由 添加 到 远程 终端 的 路 由 表 里 ， 远 程 用 户 通 过 SSL 
VPN 网 关 只 能 访问 指定 的 内 网 资源 ， 可 更 细致 地 控制 远程 用 户 的 访问 范围 。 

在 设备 上 配置 网 络 扩展 业务 时 ， 需 要 绑 定 网 络 扩展 业务 使 用 的 瑟 地 址 池 ， 以 使 虚拟 
网 卡 能 从 该 地 址 池 中 获取 企业 内 网 的 全 地 址 。 





TY 远程 用 户 启动 网 络 扩展 业务 后 ， 远 程 终端 自动 从 SSL VPN 网 关 下 载 Java 插件 。 
Java 插件 负责 与 SSL VPN 网 关 建 立 SSL 连接 ， 生 成 虚拟 网 卡 并 为 虚拟 网 卡 申 请 企业 
内 网 IP 地 址 (Java 插件 从 Web 访问 页 面 自动 下 载 ， 远程 终端 需要 安装 Java 运行 环境 
JRE )。 


远程 用 户 在 应 用 网 络 扩展 业务 时 , 如 果 直 接 关 掉 下 等 浏览 器 进程 ,程序 的 退出 功能 
得 不 到 执行 而 导致 路 由 无 法 恢复 。 此 时 需要 停止 并 重新 局 动 网 卡 。 
网 络 扩 展业 务 的 配置 步骤 见 表 9-7。 





system-view 
1 综 初 
例 如 : <Huawel> System-vi ew 进入 系 统 视 图 
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配置 网 络 扩 展业 务 的 步骤 
， II 








sslvpn gateway gateway-name 


例如 : [Huawei] sslvpn 
gateway lycb 


进入 对 应 虚拟 网 关 视 图 






创建 网 络 扩展 业务 并 进入 网 络 扩展 业务 视图 。 人 参数 说 明 参 
见 表 9-5 中 的 第 3 步 。 

缺 省 情况 下 ， 虚 拟 网 关 没有 配置 端口 转发 业务 ， 可 用 undo 
service-type ip-forwarding resource 命令 删除 网 络 扩展 
业务 





service-type ip-forwarding 
resource resource-name 
例如 : [Huawei-sslvpn-lycb] 
Service-type port-forwarding 
resource ipservices 












绑 定 网 络 扩展 业务 使 用 的 IP 地 址 池 ， 必 须 是 已 创建 的 IP 
地 址 池 。 

远程 用 户 启动 网 络 扩 展业 务 时 ， 远 程 终端 会 自动 从 Web 
访问 页 面 下 载 Java 插件 ， 该 Java 插件 会 在 主机 上 安装 一 
个 虚拟 网 卡 。Java 插件 负责 与 SSL VPN 网 关 建 立 SSL 连 
接 ， 为 虚拟 网 卡 申 请 内 网 IP 地 址 ， 并 设置 以 虚拟 网 卡 为 
出 接口 的 路 由 。 

本 命令 用 来 绑 定 网 络 扩展 业务 使 用 的 IP 地 址 池 ，Java 插 
件 从 该 地 址 池 中 为 远程 终端 的 虚拟 网 卡 申请 IP 地 址 。 
缺 省 情况 下 ， 网 络 扩展 业务 未 绑 定 卫 地 址 池 ， 可 用 undo 
bind ip-pool 命令 删除 网 络 扩展 业务 绑 定 的 IP 地 址 池 





bind ip-pool Zoo/-zazze 
例如 : [Huawei-sslvpn-lycb-if- 
res-ipservices| bind ip-pool 

pooll 















(二 选 一 ) 配置 网 络 扩 展业 务 使 用 的 路 由 模式 为 全 路 由 
模式 。 

在 全 路 由 模式 下 ， 会 在 远程 终端 的 路 由 表 里 添 加 一 条 缺 
省 路 由 , 下 一 跳 为 虚拟 网 卡 的 IP 地址 (SSL VPN 网 关 为 
虚拟 网 卡 分 配 的 企业 内 网 IP 地 址 )。 远 程 用 户 通过 SSL 
VPN 网 关 可 以 访问 网 络 扩展 业务 中 所 有 开放 的 网 段 中 
的 资源 。 

缺 省 情况 下 , 网 络 扩展 业务 使 用 的 路 由 模式 为 全 路 由 模式 





route-mode full 
例如 : [Huawei-sslvpn-lycb-if- 
res-ipservices|] route-mode full 













配置 网 络 扩展 业务 使 用 的 路 由 模式 为 隧道 分 
离 模 式 。 
将 配置 的 隧道 分 离 模 式 下 的 远程 用 户 路 由 添 














route-mode split (二 选 一 ) | 加 到 远程 终端 的 路 由 表 里 ， 远 程 用 户 通 过 
配置 为 障 | SSL VPN 网 关 只 能 访问 指定 的 内 网 资源 ， 能 


例如 : [Huawei-sslvpn-lycb-if- 
res-ipservices|] route-mode split 


更 细致 地 控制 远程 用 户 的 访问 范围 。 
缺 省 情况 下 ， 网 络 扩展 业务 使 用 的 路 由 模式 
为 全 路 由 模式 ， 可 用 undo route-mode 命令 
恢复 网 络 扩展 业务 使 用 的 路 由 模式 为 缺 省 
配置 


道 分 离 模 
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配置 隧道 分 离 模式 下 的 用 户 路 由 ， 通 过 配置 
用 户 路 由 的 目的 人 地址 和 掩 码 来 指定 可 访问 
的 内 网 服务 器 的 网 段 范围 , 最 多 能 配置 10 条 
隧道 分 离 模式 下 的 远程 用 户 路 由 。 
缺 省 情况 下 ， 系 统 未 配置 隧道 分 离 模式 下 的 远 
程 用 户 路 由 ， 可 用 undo route-split ip address 
ip-address mask { mask-length | mask } 命令 删 


除 隧道 分 离 模 式 下 的 远程 用 户 路 由 


(可 选 ) 绑 定 网 络 扩展 业务 使 用 的 ACL。 参 数 acl-number 是 
一 个 高 级 ACL 编号, 整数 形式 , 取 值 范围 为 3000 一 3999。 
如 内 网 中 某 些 重要 的 资源 不 希望 远程 用 户 访问 , 可 以 在 设 
备 上 配置 该 命令 绑 定 网 络 扩展 业务 使 用 的 ACL， 远 程 终 
端 只 可 以 与 内 网 指定 网 段 的 服务 器 进行 通信 。 在 网 络 扩展 
业务 中 , 远程 用 户 IP 报 文 到 达 SSL VPN 网 关 后 , SSL VPN 
网 关 会 根据 绑 定 的 ACL 过 滤 远 程 用 户 报 文 ， 以 便 控制 远 
程 用 户 的 访问 内 网 服务 器 的 权限 。 如 果 设 备 只 允许 远程 用 
户 访问 卫 地 址 为 1.1.1.1 的 内 网 服务 器 时 , 则 在 绑 定 ACL 
中 定义 规则 , 允许 目的 王 地址 为 1.1.1.1 的 报 文 可 以 通过 ， 
其 他 目的 IP 地 址 的 报 文 均 被 丢弃 

(可 选 ) 配置 网 络 扩展 业务 的 描述 信息 ， 字 符 串 形式 ， 文 
持 空 格 ， 区 分 大 小 写 ， 长 度 范围 是 1 一 80， 不 能 包含 “? 
<> []”。 新 配置 将 覆盖 老 配 置 。 

缺 省 情况 下 ， 虚 拟 网 关 没 有 对 业务 进行 描述 ， 可 用 undo 
description 命令 删除 虚拟 网 天 业务 的 描述 信息 












route-split ip address ip- 
address mask { mask-length | 
mask } 

例如 : [Huawei-sslvpn-lycb-if- 
res-ipservices| route-split ip 
address 1.1.1.0 mask 24 















(二 选 一 ) 
配置 为 隧 
道 分 离 模 










bind acl acl-number 
例如 : [Huawei-sslvpn-lycb-if- 
res-ipservices] bind acl 3001 





description description 
例如 : [Huawei-sslvpn-users-wp- 
TeS-lpServlces]description this 
service 1s used to access the files 


9.4.5 管理 SSL VPN 远程 用 户 


管理 SSL VPN 远程 用 户 包括 配置 远程 用 户 最 大 在 线 数目 和 远程 用 户 最 大 在 线 时 长 。 
远程 用 户 最 大 在 线 数目 还 受 设备 能 够 提供 的 最 大 在 线 远程 用 户 数目 以 及 License 控制 的 
最 大 在 线 远程 用 户 数目 的 影响 ， 最 终生 效 的 远程 用 户 最 大 在 线 数目 取 两 者 的 最 小 值 。 管 
理 SSL VPN 远程 用 户 的 具体 配置 步骤 见 表 9-8。 

表 9-8 管理 SSL VPN 远程 用 户 的 配置 步骤 





Svetoniwlose -~ | xx xx xx < 纪 
系统 视 
例如 : <Huawei> system-view 进入 系统 视图 


sslvpn gateway gateway-name 
2 例如 : [Huawei] sslvpn 进入 对 应 虚拟 网 关 视 图 
gateway lycb 


配置 虚拟 网 关 支 持 的 远程 用 户 最 大 在 线 数目 , 不同 AR 系 

列 路 由 器 的 取 值 范围 不 同 ， 最 大 值 中 最 高 为 100 个 ， 最 

max-user number 低 为 10 个 。 

| Huaweissivpn-lycb] | 缺 省 情况 下 , 不 同 AR 系列 路 由 器 虚拟 网 关 支 持 的 远程 用 
户 最 大 在 线 数目 不 同 , 可 用 undo max-user 命令 恢复 虚拟 

网 关 文 持 的 远程 用 户 最 大 在 线 数 目 为 缺 省 值 
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配置 虚拟 网 关 下 的 远程 用 户 最 大 在 线 时 长 ， 整 数 形式 ， 
取 值 范围 为 $S 一 480， 单 位 为 分 钟 。 
max-online-time number 在 线 时 间 超 过 最 大 在 线 时 长 的 远程 用 户 将 被 强制 下 线 。 远 程 
4 例如 : [Huawei-sslvpn-lycb] 用 户 被 强制 下 线 后 ， 其 用 户 信息 仍然 保存 在 虚拟 网 关中 。 
max-online-time 300 缺 省 情况 下 ， 虚 拟 网 关 下 的 远程 用 户 最 大 在 线 时 长 为 
120min， 可 用 undo max-online-time 命令 恢复 虚拟 网 关 
下 的 远程 用 户 最 大 在 线 时 长 为 缺 省 值 


9.4.6 ”配置 个 性 化 定制 Web 页 面 元 素 


这 是 一 项 可 选 配置 任务 ， 如 果 你 想 改变 缺 省 的 SSL VPN 网 关 Web 页 面 外 观 ， 则 可 
使 用 本 市 介绍 的 方法 进行 配置 。 华 为 AR 系列 路 由 器 文 持 个 性 化 定制 虚拟 网 关 Web 页 面 
的 页 面 元 素 ， 根 据 本 企业 的 需要 来 定制 适合 本 企业 的 登录 页 面 ， 从 而 使 得 远程 用 户 的 登 
录 界 面 更 加 专业 、 美 观 。 











和 设置 Web 页 面 元 素 的 颜色 时 ， 使 用 RGB 制式 的 16 进 制 表示 法 。 颜 色 的 取 值 分 
别 表示 R/G/B ， 也 就 是 红 / 绿 / 蓝 三 种 原色 的 强度 ,每 一 种 颜色 强度 最 低 为 0， 最 高 为 255， 
都 以 16 进 制 数 值 表 示 ， 把 三 个 数值 依次 并 列 起 来 ， 以 # 开 头 。 例 如 证 F0000 表示 红色 。 
如 果 每 种 原色 的 强度 取 值 中 两 个 数值 相同 ， 则 可 以 只 用 一 位 表示 原色 强度 ， 此 时 颜色 是 
3 位 16 进 制 数 。 例 如 红色 还 可 以 表示 为 三 00。 


SSL VPN 虚拟 网 关 登 录 页 面 和 SSL VPN 虚拟 网 关 资 源 查看 页 面 中 企业 可 配置 的 
Web 页 面 元 素 及 各 Web 页 面 元 素 的 缺 省 情况 分 别 如 图 9-12 和 图 9-13 所 示 , 可 使 用 表 9-9 
所 示 的 各 部 分 配置 命令 选择 性 地 对 各 元 素 进 行 个 性 化 配置 。 

企业 Logo 
| 2 


We SSL VPN 


横幅 颜色 





ee 





2 保安 一 避 要 条 


底部 帮助 信息 
图 9-12 登录 页 面 中 可 配置 的 Web 页 面 元 素 及 各 Web 页 面 元 素 的 缺 省 情况 
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表格 头 部 颜色 


rh 全 WW 生生 负 


20 名 






首 梭 也 半 名 学 为 技术 有 有 限 公 内 20 过 保科 一 访 私利 


图 9-13 ”资源 碍 看 页 面 中 可 配置 的 Web 页 面 元 素 及 各 Web 页 面 元 素 的 缺 省 情况 


表 9-9 了 本 个 下 他 


通常 情 疯 下 ， 不 同 的 企业 都 有 和 己 特定 的 企业 人 
如 果 需 要 虚拟 网 关 Web 页 面 显示 本 企业 的 企业 Logo， 

企业 Logo | logo logo-file 可 以 执行 本 命令 配置 虚拟 网 关 Web 页 面 的 企业 Logo。 
缺 省 情况 下 ， 虚 拟 网 关 Web 页 面 的 企业 Logo 为 华 
为 技术 有 限 公 司 的 Logo 


登录 框 背 | login-photo login- | 当 需 要 更 改 虚拟 网 关 Web 登录 页 面 的 登录 框 背景 图 
景 图 片 ”| photo-file 片 时 ， 可 以 执行 本 命令 
通常 情况 下 ， 不 同 的 企业 都 有 自己 特定 的 名 称 。 如 
果 需 要 虚拟 网 关 Web 页 面 显 示 本 企业 的 企业 名 称 ， 可 
以 执行 本 命令 配置 虚拟 网 关 Web 页 面 的 企业 名 称 。 
缺 省 情况 下 , 虚拟 网 关 Web 页 面 的 企业 名 称 为 “SSL 
VPN” | 
对 于 特定 的 客户 或 特定 的 节日 ， 可 外 epee wn 
Web 访问 页 面 显 示 特 定 的 欢迎 语 。 可 以 执行 本 命令 
灵活 配置 虚拟 网 关 Web 访问 页 面 的 欢迎 语 。 
os eT 虚拟 网 关 Web 访问 页 面 的 欢迎 语 为 “ 欢 
企业 可 能 需要 将 地 十、 电话 号 码 等 信息 展示 给 客户 。 
针对 企业 信息 展示 的 需要 ， 可 以 选择 将 这 些 信 息 作 
为 虚拟 网 关 Web 访问 页 面 的 底部 帮助 信息 。 
缺 省 情况 下 , 虚拟 网 关 Web 访问 页 面 的 底部 帮助 信息 为 
“版 权 所 有 © 华为 技术 有 限 企 业 2012. 保留 一 切 权 利 ” 
如 果 需 要 更 改 虚 拟 网 关 Web 访问 页 面 的 横幅 颜色 
时 ， 可 以 执行 本 命令 配置 虚拟 网 关 Web 访问 页 面 的 
横幅 颜色 。 
缺 省 情况 下 ， 虚 拟 网 关 Web 访问 页 面 的 横幅 颜色 的 
RGB 色彩 模式 为 所 EEEEE ( 浅 灰 色 ) 













Organization 
organization-name 


企业 名 称 





login-message 
welcome-info 


login-help he/p- 
info 


banner-color co/or- 
value 





颜色 






横幅 硕 色 
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( 续 表 ) 
= 说 明 


如 果 需 要 更 改 虚拟 网 关 Web 访问 页 面 的 表格 头 部 颜 
色 时 ， 可 以 执行 本 命令 配置 虚拟 网 关 Web 访问 页 面 
的 表格 头 部 颜色 。 

缺 省 情况 下 ， 虚 拟 网 关 Web 访问 页 面 的 表格 头 部 颜 
色 的 RGB 色彩 模式 为 #CDCDCD (银白 色 ) 


如 果 需 要 更 改 虚拟 网 关 Web 访问 页 面 的 背景 颜色 
时 ， 可 以 执行 本 命令 配置 虚拟 网 关 Web 访问 页 面 的 
背景 颜色 。 

缺 省 情况 下 ， 虚 拟 网 关 Web 访问 页 面 的 背景 颜色 的 
RGB 格式 为 证 6F6F6 〈 淡 灰色 ) 


如 果 需 要 更 改 虚拟 网 关 Web 访问 页 面 的 文字 颜色 
时 ， 可 以 执行 本 命令 配置 虚拟 网 关 Web 访问 页 面 的 
文字 颜色 。 

缺 省 情况 下 ， 虚 拟 网 关 Web 访问 页 面 的 文字 颜色 的 
RGB 格式 为 #33333〔( 暗 黑色 ) 






table-color co/lor- 
value 


background-color 
color-value 








颜色 


text-color co/o7- 
value 





文字 颜色 


9.4.7 “远程 用 户 接 入 SSL VPN 网 关 


在 设备 上 配置 完成 SSL VPN 功能 后 ， 远 程 用 户 就 可 以 登录 虚拟 网 关 Web 页 面 来 访 
问 企业 内 网 资源 了 。 整 个 资源 访问 过 程 分 两 部 分 : 一 是 登录 SSL VPN 虚拟 网 关 ; 二 是 在 
SSL VPN 虚拟 网 关 资 源 列 表 中 选择 访问 的 企业 内 网 资源 。 





“远程 用 户 不 能 在 一 台 终 端 上 使 用 两 个 用 户 名 同时 登录 虚拟 网 关 。SSL VPN 客户 端 
仅 适用 32 位 操作 系统 。 


1. 远程 用 户 登 录 SSL VPN 虚拟 网 关 

(1) 远程 用 户 打 开 浏 览 器 ， 在 地 址 栏 里 输入 SSL VPN 虚拟 网 关 的 卫 地址 。 例 如 : 
https://202.1.1.9:1023S/gateway1 。 

当 设 备 本 地 证 书 的 颁发 机 构 不 在 PC 操作 系统 预 设 的 信任 的 证 书 机 构 中 时 ， 浏 览 
会 跳 转 到 如 图 9-14 所 示 错 误 提示 页 面 。 

此 时 ， 远 程 用 户 可 以 在 地 址 栏 中 单 击 “ 证 书 错误 ”提示 ， 即 可 将 根 证书 导 入 到 浏览 
器 ， 确 认证 书 是 可 信任 的 证 书后 ， 证 书 不 合法 的 提示 就 不 会 出 现 了 。 远 程 用 户 还 可 通过 
单 击 “ 更 多 信息 ”下 拉 列 表 了 解 更 多 信息 ， 当 判断 证 书 是 可 信任 的 证 书 时 ， 也 可 以 点 击 
“继续 浏览 此 网 站 〈 不 推荐 )” 选 项 。 

(2) 上 一 步 的 证 书 问 题 成 功 解决 后 ， 浏 览 器 跳 转 到 登录 SSL VPN 网 关 的 页 面 ， 如 
图 9-15 所 示 。 在 此 要 求 输入 在 SSL VPN 网 关上 配置 的 远程 用 户 名 和 和 密码, 然后 单 击 “ 登 
录 ” 按 钮 进行 登录 。 如 果 输 入 错误 ， 可 单 击 “ 重 置 ”按钮 删除 原来 的 错误 输入 ， 然 后 重 
新 输入 。 
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此 网 站 的 安全 证 书 有 问题 ， NG SSL VPN 





北 网 站 出 村 的 安全 证 书 不 是 由 受 傍 任 的 还 韦 颖 发 机 构 姐 发 的 。 
北山 站 出 要 的 安全 证 书 是 为 然 名 网 站 地 址 颁发 的 。 
安全 证 书 党 壬 可 能 所 示 试图 网 注 您 或 教 获 您 铅 服 务 钥 发 送 的 数据 ， 
用户 登录 
建议 关闭 此 网 页 ， 并 号 不 要 继 继 浏览 该 殉 站 ， 
等 单 击 此 处 关闭 流风 页。 
区 十 纺 刘 站 此 网 站 (不 推荐 )。 
党 更 多 售 允 





括 校 所 有 参 华 为 技术 有 有限 公 司 2 这 保 狠 一 切 权 利 


全 证 书 不 合法 的 错误 提示 图 9-15 SSLVPN 网 关 登 录 页 面 


2 es Ss 


有 


(3) 登录 身份 认证 成 功 后 ， 浏 览 器 跳 转 到 SSL VPN 虚拟 网 关 资 源 查 看 页 面 ， 如 
图 9-16 所 示 。 该 页 面 只 会 显示 该 远程 用 户 可 以 访问 的 内 网 资源 。 





NG SSL VPN 各 一 人 注 消 


欢 到 登录 : admin@domain1 登录 时 间 : 2013-05-20 1411.38 











出 余 时 间 : 118 分 畦 


SUPDG Hus co 
SUPppo NU co | 





版 权 所 有 令 华 为 技术 有 限 公司 2012 保留 一 切 权利 


图 9-16 SSL VPN 虚拟 网 关 资 源 查看 页 面 






1 “如 果 出 现 提示 “应 用 程序 已 被 Java 安全 阻止 ”的 现象 , 则 建议 打开 控制 面板 中 的 
Java， 并 单 击 【 人 安全】 按钮 ， 在 “编辑 站 点 列表 中 将 SSLVPN 根 目 录 ( 即 https:/X.X.X.X:Y/) 
添加 到 例外 站 点 中 ， 否 则 无 法 正常 访问 SSL VPN 页 面 。 

2. 远程 用 户 选择 企业 内 网 资源 

通过 前 面 的 操作 , 我 们 已 成 功 访问 到 了 SSL VPN 虚拟 网 关 的 资源 查看 页 面 , 接 下 来 
就 是 要 访问 相应 的 资源 了 。 前 面 已 介绍 ，SSL VPN 支持 三 种 业务 类 型 ， 而 不 同类 型 的 业 
务 访问 的 方法 不 完全 一 样 。 

(1) Web 代理 业务 

设备 默认 SSL VPN 虚拟 网 关 界 面 是 “Web 代理 ” 如 图 9-16 所 示 ， 远 程 用 户 只 需 单 
击 列 表 中 的 URL 地 址 即 可 访问 企业 Web 资源 。 
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使 用 下 浏览 器 登录 SSLVPN， 浏 览 Web 代理 页 面 ， 单 击 页 面 上 的 文档 链接 ， 在 
线 打 开 Windows Office 文档 时 ， 如 果 打 开 失 败 ， 可 以 右键 单 击 文档 链接 ， 选 择 “ 打 开 ”; 
或 者 注销 本 次 登录 ， 关 闭 夺 浏览 器 ,使 用 Firefox 浏览 器 重新 登录 SSLVPN， 可 在 Web 
代理 页 面 上 单 击 文档 链接 打开 文档 。 

Web 代理 由 Web-tunnel 类 型 实现 时 ,远程 终端 需要 安装 Java 运行 环境 如果 远 程 终 
端 未 安装 ， 浏 览 器 会 出 现 提 示 “请 安装 JRE。 下 载 地 址 : http://www.java. oi 
闭 所 有 浏览 器 窗口 ,再 根据 提示 中 的 地 址 进行 下 载 。 当 URL 地 址 下 方 出 现下 划 线 标志 
可 以 访问 该 资源 。 


(2) 端口 转发 业务 
选择 “端口 转发 ”页 签 ， 打 开 如 图 9-17 所 示 页 面 。 在 访问 其 中 的 资源 时 ， 单 击 “ 启 
动 ”按钮 即 可 通过 点 击 相 应 的 应 用 程序 访问 指定 的 内 网 TCP 资源 。 


ol VPN 多 # 助 全 注销 
HUAWEI 


欢迎 登录 : admin@domain1 登录 时 间 - 2013-05-20 15.27.09 


庙 吕 转发 > 利 作 时间: 114 分 图 







Telnet 
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图 9-17 “端口 转发 ”业务 界面 


图 9-17 中 端口 转发 业务 资源 1 为 开启 192.168.5.70 的 23 号 端口 ， 即 Telnet 应 用 。 
远程 用 户 可 以 通过 Telnet 应 用 程序 访问 企业 内 网 的 192.168.5.70。 在 访问 时 , 远程 终端 会 
弹出 该 SSL VPN 网 关 的 数字 证 书 ， 单 击 “Import Certificate” 导 入 数字 证 书后 可 以 操作 
进行 Telnet 192.168.5.70 了 。 如 果 有 其 他 端口 转发 资源 也 进行 以 上 类 似 操作 。 





Lm 使 用 端口 转发 业务 ， 远 程 终 端 需要 安装 Java 运行 环境 JavaScript， 如 果 远 程 终端 
未 安装 ， 浏 览 器 会 出 现 提 示 “ 请 安装 JRE。 下 载 地 址 : http://www.java.com 。 请 先 关闭 
所 有 浏览 器 窗口 ， 再 根据 提示 中 的 地 址 进行 下 载 。 

(3) 网 络 扩 展业 务 

选择 “网 络 扩展 ”页 签 ， 打 开 如 图 9-18 所 示 页 面 。 然 后 单 击 “ 启 动 ” 按 钮 ， 启 动 成 
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功 后 ， 远 程 用 户 即 可 以 访问 企业 内 网 所 有 资源 。 


WW sol vpN 人 吕 二 
HHUAVYES 


欢迎 营 尝 : admin@domain1 党 巡 时 间 : 2013-05-20 15.27.08 


币 人 时间: 113 分 灶 


| 
| 
| 
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9-18 “网 络 扩展 ”业务 界面 








使 用 网 络 扩展 业务 ， 远 程 终 端 也 需要 安装 Java 运行 环境 JavaScript， 如 果 远 程 终 
端 未 安装 ， 浏 览 器 会 出 现 提 示 “ 请 安装 JRE。 下 载 地 址 : http:/www.java.com 。 请 先 关 
闭 所 有 浏览 器 窗口 ， 再 根据 提示 中 的 地 址 进行 下 载 。 


9.4.8 SSL VPN 维护 与 管理 


完成 SSL VPN 功能 的 配置 后 ， 可 在 任意 视图 下 执行 以 下 display 命令 相 看 相关 配置 
或 统计 信息 。 

e display sslvpn server port: 查看 SSL VPN 的 侦 听 问 口 号 。 

。 display sslvpn gateway [ gateway-name ]: 查看 所 有 或 指定 虚拟 网 关 的 配置 信息 。 

e display sslvpn gateway gateway-name resource class { web-proxy | port-forwarding | 
ip-forwarding }: 但 看 指定 虚拟 网 关中 指定 类 型 的 资源 信息 。 

e display sslvpn gateway gateway-name access-user [ user-name ]: 但 看 指定 虚拟 网 
关 下 接 入 的 所 有 或 指定 远程 用 户 的 信息 。 

。 display sslvpn user statistics: 查看 远程 用 户 数 历史 统计 信息 。 也 可 在 用 户 视 图 下 
执行 reset sslvpn user statistics 命令 清除 远程 用 户 数 历史 统计 信息 。 

如 果 发 现 某 用 户 可 疑 ， 则 可 在 对 应 虚拟 网 关 视 图 下 执行 cut user { name user-name | 
id user-id | all } 命 令 将 虚拟 网 关 下 的 指定 或 所 有 远程 用 户 强 制 下 线 。 


9.5 SSL VPN 上 典型 配置 示例 


同样 , 为 了 帮助 大 家 对 SSL VPN 的 整个 配置 过 程 加 深 理 解 ,本 节 也 要 介绍 不 同业 务 
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类 型 访问 的 SSL VPN 配置 示例 。 
9.5.1 Web 代理 业务 配置 示例 


如 图 9-19 所 示 ， 革 企业 通过 Router 与 Internet 相连 ， 企 业 希 望 处 于 企业 外 网 的 客户 
在 终端 配置 最 少 的 情况 下 随时 随地 以 域名 的 方式 安全 访问 企业 内 网 的 Web 资源 。 


DNS 服务 器 
10.1.1.9/24 






一 一 






客户 
用 户 名 : admin@domain] 


202.1.1.9/24 
Router 






企业 








密码 : adminl SSL VPN 网 关 Web 服 务 器 总 部 
10.82.55.192/32 
CA 服务 器 Supporthuawel.com 


10.2.1.9/24 
图 9-19 ”Web 代理 业务 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

本 示例 是 要 求 企业 外 网 的 客户 能 够 安全 地 以 域名 方式 访问 企业 内 网 的 Web 资源 , 所 
以 需要 在 Router 上 配置 SSL VPN 的 Web 代理 业务 , 并 配置 DNS 解析 功能 。 根据 本 章 前 
面 介 绍 的 整个 SSL VPN 配置 任务 可 以 得 出 本 示例 的 基本 配置 思路 如 下 。 

(1) 配置 各 接口 IP 地 址 、DNS 域名 解析 功能 以 及 到 达 外 部 网 络 ( 包 括 远 程 用户 网 
络 、CA 服务 器 网 络 ) 的 缺 省 路 由 (内 网 路 由 在 此 不 做 介绍 )。 

(2) 创建 RSA 密 钥 对 。 

(3) 配置 PKI (包括 PKI 实体 和 PKI 域 )。 

(4) 配置 通过 SCEP 协议 自动 (当然 也 可 采用 手动 方式 ) 注册 本 地 证 书 。 

(5) 配置 SSL 服务 器 策略 和 HTTPS 服务 器 。 

(6) 配置 SSL VPN， 包 插 创 建 远 程 访问 用 户 、 配 置 SSL VPN 虚拟 网 关 基 本 功能 和 
Web 代理 业务 ， 实 现 客户 访问 企业 内 网 的 Web 资源 。 






本 示例 中 的 CA 服务 器 是 由 Windows Server 2008 系统 构建 ,CA 服务 器 名 称 假设 
为 ca a, CA 证 书 的 数据 指纹 所 用 摘要 算法 为 SHA2-256, 数字 指纹 为 e71add0744360e91 
186b828412d279e06dccl5a4ab4bb3d13842820396b526a0， 申 请 本 地 证 书 的 URL 地 址 为 : 
http:/10.2.1.9:8080/certsrv/mscep/mscep.dl1， 挑 战 客 码 为 6AE73F21E6D3571D。 


2. 具体 配置 步骤 
(1) 配置 接口 IP 地 址 、 到 达 外 网 的 缺 省 路 由 和 DNS 域名 解析 。 
# ”配置 各 接口 IP 地 址 


<Huawel> system-view 

[Huawei] sysname Router 

Router] interface gigabitEthernet 0/0/1 
[Router-GigabitEthernet0/0/1| ip address 192.168.1.9 24 
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[Router-GigabitEthernet0/0/1] quit 

[Router] interface gigabitEthernet 0/0/2 
[Router-GigabitEthernet0O/0/2] ip address 202.1.1.9 24 
[Router-GigabitEthernet0/0/2] quit 


# ”配置 到 达 外 网 (包括 用 户 网 络 和 CA 服务 器 网 络 ) 的 缺 省 路 由 , 假设 下 一 跳 地 址 


为 20214140. 
[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.10 


# 配置 DNS 域名 解析 功能 

通过 DNS 域名 形式 访问 Web 资源 时 ， 还 需要 配置 域名 解析 功能 。 
[Router] dns resolve ”#--- 使 能 域名 解析 功能 

[Router] dns server 10.1.1.9  #--- 指 定 DNS 服务 器 IP 地 址 


(2) 创建 RSA 密 钥 对 ， 名 称 为 rsa_ scep，2048 位 ， 可 导出 。 
[Router] pki rsa local-key-pair create rsa_scep exportable 

Info: The name of the new key-pair will be: rsa_scep 

The size of the public key ranges from $12 to 4096. 

Input the blts in the modules:2048 

Generating key-pairs... .i 二 


(3) 配置 PKI (包括 PKI 实体 和 PKI 域 )。 
# 配置 PKI 实体 。 在 此 仅 配 PKI 实体 的 通用 名 和 国家 名 称 。 


[Router] pki entity lycb 

[Router-pki-entity-lycb] common-name hello 

[Router-pki-entity-lycb] country CN 

[Router-pki-entity-lycb] quit 

# 配置 PKI 域 。 绑 定 前 面 配置 的 PKI 实体 、RSA 密 钥 对 ， 以 及 CA 服务 占 、CA 证 
书 的 数字 指纹 、 挑 战 密 人 码 等 参数 。 

[Router] pki realm admin 

[Router-pki-realm-admin] entity lycb 

[Router-pki-realm-admin| rsa local-key-pair rsa_scep 

[Router-pki-realm-admin| ca id ca a 

[Router-pki-realm-admin] fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0 
#---CA 证 书 的 数字 指纹 

[Router-pki-realm-admin] password cipher 6AE73F21E6D3571D #--- 申 请 本 地 证 时 的 挑战 密码 


(4) 通过 SCEP 协议 目 动 注册 和 更 新 本 地 数字 证 书 。 

本 示例 采用 通过 SCEP 协议 自动 申请 和 更 新 本 地 证 书 方 式 。 更 新 时 间 是 现 有 证 书 有 
效 期 达到 60% 时 ， 更 新 本 地 证 书 时 还 要 求 目 动 创建 新 的 2048 位 的 RSA 密 钥 对 。 

[Router-pki-realm-admin] enrollment-url http://10.2.1.9:8080/certsrv/mscep/mscep.dll ra #--- 指 定 问 CA 服务 器 进行 本 
地 证 书 申请 时 的 URL 地 址 ， 并 指定 由 RA 服务 器 负责 审核 

[Router-pki-realm-admin] auto-enroll 60 regenerate 2048 #--- 使 能 证 书 自动 注册 和 更 新 功能 ， 当 现 有 证 书 有 效 期 达到 
60% 时 启动 证 书 更 新 进程 ， 同 时 重新 生成 2048 位 的 RSA 密 钥 对 

[Router-pki-realm-admin] quit 

通过 以 上 配置 ，Router 即 可 成 功 从 CA 服务 器 上 获取 到 本 地 数字 证 书 了 。 有 了 数字 
证 书 ， 就 可 以 进一步 配置 SSL 策略 ， 把 Router 配置 为 HTTPS 服务 器 角色 。 

(5) 配置 服务 器 型 SSL 策略 和 HTTPS 服务 器 。 


[Router| ssl policy adminserver type seryer 

[Router-ssl-policy-adminserver] pki-realm admin #--- 指 定 所 属 的 PKI 域 
[Router-ssl-policy-adminserver] quit 

[Router] http secure-server ssl-policy adminserver #--- 指 定 所 使 用 的 SSL 策略 
[Router] sslvpn server port 1025 。” # 一 修 改 SSL VPN 的 侦 听 端口 号 为 1025 
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(6) 配置 SSL VPN。 
# 创建 远程 用 户 的 用 户 信息 ， 假 设 属于 domainl 域 。 


[Router] aaa 

[Router-aaa] domain domainl ”#--- 创 建 AAA 域 domainl 

[Router-aaa-domain-domain1] quit 

[Router-aaa] local-user admin(@domain1 password #--- 创 建 名 为 admin@domain1 的 用 户 账户 

Please configure the login password (8-128) 

It ls recommended that the password consist of at least 2 types of characters, i 

ncluding lowercase letters, uppercase letters, numerals and special characters. 

Please enter password: //--- 输 入 密码 Huawei@1234 

Please confirm password: ”/--- 重 复 输 入 密码 Huawei@1234 

Info: Add a new user. 

Warning: The new user supports all access modes. The management user access mode 

s Such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi 

sed to configure the required access modes only. 

[Router-aaa] local-user admin(@domain1 service-type sslvpn #-- 指 定 用 户 支 持 SSL VPN 服务 

[Router-aaa| quit 

# 创建 虚拟 网 关 gateway1， 并 配置 虚拟 网 关 基 本 参数 。 

[Router] sslvpn gateway gatewayl 

[Router-sslvpn-gateway |! | intranet interface gigabitethernet 0/0/1 

[Router-sslvpn-gateway1] bind domain domain1 #--- 绑 定 AAA 域 domain1 

[Router-sslvpn-gateway1] enable 

# ”在 虚拟 网 关上 配置 Web 代理 业务 ， 实 现 客户 访问 企业 内 网 的 Web 资源 。 

在 此 分 别 以 IP 地址 和 域名 方式 创建 两 条 访问 Web 服务 器 的 Web 代理 业务 ， 当 然 也 
可 以 仅 配置 其 中 一 条 。 


[Router-sslvpn-gateway!1| service-type web-proxy resource ] 

[Router-sslvpn-gateway1-wp-res-1] link http://10.82.55.192/”#--- 以 IP 地 址 方式 指定 访问 Web 服务 器 的 URL 地 址 
[Router-sslvpn-gateway1-wp-res-1] quit 

[Router-sslvpn-gateway! | service-type web-proxy resource 2 

[Router-sslvpn-gateway1-wp-res-2] link http://support.huawei.com/”#--- 以 域名 方式 指定 访问 Web 服务 器 的 URL 地 址 
[Router-sslvpn-gatewayl-wp-res-2] quit 





“如 果 代 理 的 Web 链接 是 HTTPS 类 型 ， 即 “https://XXX/”， 则 还 需要 在 Router 上 
通过 ssl policy policy-name type client 命令 配置 SSL 客户 端 策略 ,并 通过 http secure-client 
ssl-policy policy-name 命令 把 Router 配置 为 HTTPS 客户 端 。 


3. 配置 结果 验证 

配置 完成 后 ， 客 户 可 在 浏览 器 的 地 址 栏 输 入 虚拟 网 关 地 址 “https:/202.1.1.9: 
1025/gatewayl1”， 进 入 SSL VPN 网 关 登 录 页 面 。 然 后 在 登录 界面 中 输入 用 户 名 和 密码 ， 
认证 成 功 后 ， 在 “Web 代理 ”页 面 查 看 可 以 访问 的 两 条 Web 资源 列表 ， 单 击 URL 地 址 
即 可 访问 。 


9.5.2 ”端口 转发 业务 配置 示例 


如 图 9-20 所 示 ， 基 企业 通过 Router 与 Internet 相连 ，Router 所 需 证 书 已 通过 离线 方 
式 获 取 ， 并 且 证 书 已 保存 在 Router 的 存储 介质 上 : 数字 证 书 名 为 rt_ca.pem， 私 钥 文 件 名 
为 rt_pri.pem。 现 企业 希望 处 于 企业 外 网 的 合作 伙伴 在 终 端 配置 最 少 的 情况 下 随时 随地 安 
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全 访问 企业 内 网 基于 TCP 的 资源 。 这 些 基 于 TCP 的 资源 包括 : 
e 与 企业 内 网 主机 PC1 实现 桌面 共享 (TCP 病 口 写 : 3389); 


e。 通过 Telnet 方式 远程 访问 企业 内 网 的 应 用 服务 器 (TCP 端口 号 : 23 )。 
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图 9-20 ”端口 转发 业务 配置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 








S57 


本 示例 是 要 通过 SSL VPN 为 远程 用 户 提供 基于 TCP 端口 的 业务 访问 ， 所 以 需要 在 
Router 上 配置 SSL VPN 的 端口 转发 业务 , 这 样 合作 伙伴 使 用 终端 的 普通 浏览 器 可 以 安全 


访问 以 上 企业 内 网 的 TCP 资源。 


另外 ， 本 示例 中 的 Router 已 经 以 离线 方式 获取 到 了 本 地 数字 证 书 ， 所 以 无 需 为 外 问 


CA 申请 ， 只 需 把 保存 在 存储 介质 的 本 地 证 书 导 入 内 存 中 即 可 。 
由 此 可 得 出 本 示例 的 基本 配置 思路 如 下 : 


(1) 配置 各 接口 卫 地 址 及 到 达 外 网 的 缺 省 路 由 《企业 内 网 路 由 在 此 不 作 介绍 ) 


(2) 配置 PKI (包括 PKI 实体 和 PKI 域 ); 
(3) 导入 本 地 证 书 到 内 存 ; 
(4) 配置 SSL 服务 器 策略 和 HTTPS 服务 堪 ; 


(5) 配置 SSL VPN， 包 括 创建 远程 用 户 ， 配 置 SSL VPN 虚拟 网 关 ， 以 及 端口 转发 


业务 ， 实 现 合作 伙伴 访问 企业 内 网 基于 TCP 的 资源 。 
2. 上 有 具体 配置 步骤 


(1) 配置 接口 的 IP 地 址 和 到 达 外 网 的 缺 省 路 由 ， 假 设 下 一 跳 地 址 为 202.1.1.10。 


<Huawel> system-view 

[Huawei| sysname Router 

[Router| interface GigabitEthernet 0/0/1 
[Router-GigabitEthermet0/0/1| ip address 192.168.1.9 24 
[Router-GigabitEthernet0/0/1] quit 

[Router| interface GigabitEthernet 0/0/2 
[Router-GigabitEthernet0/0/2| ip address 202.1.1.9 24 
[Router-GigabitEthernet0/0/2] quit 

[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.10 


(2) 配置 PKI (包括 PKI 实体 和 PKI 域 )。 
# 配置 PKI 实体 。 


[Router] pki entity lycb 
[Router-pki-entity-lycb|] common-name hello 
[Router-pki-entity-lycb] country CN 
[Router-pki-entity-lycb] quit 


# 配置 PKI 域 。 
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[Router] pki realm admin 
[Router-pki-realm-admin] entity lycb 
[Router-pki-realm-admin] quit 
(3) 导入 PKI 域 中 的 本 地 证 书 到 内 存 。 
村 入 本 地 证 书 时 会 提示 输入 要 导入 的 证 书 文 件 的 名 称 、 私 钥 文 件 的 名 称 、 私 钥 文 件 
的 格式 ， 同 时 还 需要 指定 密码 ， 此 密码 为 使 用 pki export-certificate 命令 导出 证 书 时 配 
莹 的 密码 ， 只 有 密码 一 致 才 可 以 成 功 导 入 证 书 。 
[Router] pki import-certificate local realm admin pem 
Please enter the name of certificate file <length 1-127>: rt_ca.pem 
You are importing a local certificate, the current private key 1s required. 
Please enter the name of private key file <length 1-127>: rt_ pri.pem 
Please enter the type of private key file(pem , p12): pem 
The current password is required, please enter your password <length 1-31 >:****** 
Successfully imported the certificate. 


证 书 导入 成 功 后 ， 如 果 设 备 重 局 ， 设 备 会 目 动 导入 数字 证 书 和 私 钥 文件 ， 无 需 重新 
导 太 。 

(4) 配置 SSL 服务 器 荣 略 和 HTTPS 服务 器 。 因 为 在 问 口 业务 有 Telnet 应 用 ， 上 所 以 
还 需要 使 能 Telnet 服务 器 功能 。 


[Router] ssl policy adminserver type server 

[Router-ssl]-policy-adminserver] pki-realm admin 
[Router-ssl-policy-adminserver| quit 

[Router] http secure-server ssl-policy adminserver 

[Router] sslvpn server port 1025  #--- 修 改 SSL VPN 的 侦 听 端口 号 为 1025 
[Router] telnet server enable #--- 使 能 Telnet 服务 器 功能 


(5) 配置 SSL VPN。 
# 创建 远程 用 户 的 用 户 信 息 ， 假 设 属于 domainl 域 。 


[Router] aaa 

[Router-aaal domain domain!l 

[Router-aaa-domain-domain1] quit 

[Router-aaa] local-user admin@Odomainl password 

Please configure the login password (8-128) 

It ls recommended that the password consist of at least 2 types of characters, i 
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password: //--- 输 入 密码 Huawei@1234 

Please confirm password: “”//--- 重 复 输入 密码 Huawei@1234 

Info: Add a new user. 

Warning: The new user supports all access modes. The management user access mode 
s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi 
sed to configure the required access modes only. 

[Router-aaa| local-user adminCdomainl service-type sslvpn 

[Router-aaal| quit 


# 创建 虚拟 网 关 gatewayl 并 配置 虚拟 网 关 基 本 参数 。 


[Routerj sslvpn gateway gatewayl 

[Router-sslvpn-gatewayl] intranet interface gigabitethernet 0/0/1 
[Router-sslvpn-gateway1] bind domain domainl 
[Router-sslvpn-gatewayl] enable 


# 在 虚拟 网 关 gatewayl 上 配置 两 条 端口 转发 业务 : 一 条 是 实现 与 PC1 桌面 共享 的 
业务 ， 另 一 条 是 进行 Telnet 登录 应 用 服务 器 的 业务 ， 实 现 合 作 伙 伴 访 问 企业 内 网 基于 
TCP 的 资源 。 
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[Router-sslvpn-gateway1] service-type port-forwarding resource 1 

[Router-sslvpn-gateway1-pf-res-1] server ip-address 192.168.3.9 port 3389 #-- 创 建 与 PC1 实现 桌面 共享 的 端口 转发 业务 

[Router-sslvpn-gateway1-pf-res-1] description mstsc 

[Router-sslvpn-gateway1-pf-res-1] quit 

[Router-sslvpn-gateway1] service-type port-forwarding resource 2 

[Router-sslvpn-gateway1-pf-res-2] server ip-address 192.168.2.9 port 23 ”#--- 创 建 Telnet 应 用 服务 器 的 端口 转发 业务 

[Router-sslvpn-gateway1-pf-res-2] description Telnet 

[Router-sslvpn-gatewayl -pf-res-2| quit 

3. 配置 结 采 验证 

配置 完成 后 ， 合 作 伙伴 在 浏览 器 的 地 址 栏 输入 虚拟 网 关 地 址 “https://202.1.1 a 1025/ 
gatewayl”， 进 入 SSL VPN 网 关 登 录 页 面 。 然 后 在 登录 界面 中 输入 用 户 名 和 密码 ， 认 证 
成 功 后 ， 在 “端口 转发 ”页 面 查看 可 以 访问 的 TCP 资源 列表 ， 单 击 “ 启 动 ” 四 本， 通 

过 桌面 共享 应 用 程序 可 访问 PC1， 通 过 Telnet 应 用 程序 可 访问 应 用 服务 器 。 


9.5.3 网 络 扩 展业 务 配置 示例 


如 图 9-21 所 示 ， 某 企业 通过 SSL VPN 网 关 Router 与 Internet 相连 ， 企 业 希 望 处 于 
企业 外 网 的 出 差 员 工 在 终端 配置 最 少 的 情况 下 随时 随地 与 企业 内 网 的 PC1 在 网 络 层 实 现 
安全 通信 。 


DNS 服务 器 
10.1.1.9/24 





出 差 员工 202.1.1.9/24 


Router 







企业 





用 户 名 : admin@domainl . 
密码 : adminl SSL VPN 网 关 总 部 
192.168.4.9/24 
CA 服务 器 
10.2.1.9/24 
图 9-21 网 络 扩展 业务 配置 示例 的 拓扑 结构 
.基本 配置 思路 分 析 


paar 能 与 内 网 用 户 通过 SSL VPN 实现 网 络 层 安全 互 访 , 所 以 需 
要 在 Router 上 配置 SSL VPN 的 网 络 扩展 业务 ， 让 出 差 员 工 使 用 终端 的 普通 浏览 器 可 以 
与 企业 内 网 的 PC1 在 网 络 层 实现 安全 通信 。 

本 示例 的 基本 配置 思路 也 是 要 先 为 Router 从 CA 服务 器 申请 本 地 证 书 ,然后 配置 SSL 
服务 右 人 策略， 把 Router 配置 为 HTTPS 服务 器 ， 最 后 配置 SSL VPN 虚拟 网 关 及 网 络 扩展 
业务 。 但 在 网 络 扩展 业务 配置 中 ， 需 要 在 Router 上 配置 一 个 IP 池 ， 用 于 分 配给 远程 访 
问 用 户 中 由 Java 插件 自动 生成 的 虚拟 网 卡 。 

本 示例 的 具体 配置 思路 : 

(1) 配置 各 接口 IP 地 址 、DNS 域名 解析 功能 ， 以 及 到 达 外 部 网 络 〈 包 括 远程 用 户 
网 络 、CA 服务 器 网 络 ) 的 缺 省 路 由 《内 网 路 由 在 此 不 作 介 绍 ) 

(2) 创建 RSA 密 钥 对 ; 

(3) 配置 PKI (包括 PKI 实体 和 PKI 域 ); 
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(4) 配置 通过 SCEP 协议 自动 注册 本 地 证 书 ; 

(5) 配置 SSL 服务 器 策略 和 HTTPS 服务 器 ; 

(6) 配置 SSLVPN， 包 括 创 建 用 于 为 远程 访问 用 户 虚 拟 网 卡 分 配 IP 地址 的 卫 地址 
闻 ， 创 建 远 程 访问 用 户 ， 配置 SSL VPN 虚拟 网 关 基 本 功能 和 网 络 扩展 业务 ， 实 现 远程 用 
户 访 问 企 业内 网 资源 。 





“本 示例 中 的 CA 服务 器 是 由 Windows Server 2008 系统 构建 ,CA 服务 器 名 称 假 设 
为 ca a, CA 证 书 的 数据 指纹 所 用 摘要 算法 为 SHA2-256， 数字 指纹 为 e71add0744360e91 
186b828412d279e06dccl5a4ab4bb3d13842820396b526a0， 申 请 本 地 证 书 的 URL 地 址 为 : 
http://10.2.1.9:8080/certsrv/mscep/mscep.dll， 挑 战 密码 为 6AE73F21E6D3571D。 


2. 具体 配置 步骤 

(1) 配置 接口 的 IP 地 址 和 到 达 外 网 的 缺 省 路 由 ， 假 设 下 一 跳 地 址 为 202.1.1.10。 

这 里 新 建 了 一 个 Loopback0 接口 ， 用 于 为 远程 访问 用 户 虚拟 网 卡 分 配 IP 地 址 的 IP 
地 址 池 的 网 关 。 

<Huawel> system-view 

[Huawei] sysname Router 

[Router] interface GigabitEthernet 0/0/1 

[Router-GigabitEthernet0/0/1| ip address 192.168.1.9 24 

[Router-GigabitEthernet0/0/1] quit 

[Router] interface GigabitEthernet 0/0/2 

[Router-GigabitEthernet0/0/2] ip address 202.1.1.9 24 

[Router-GigabitEthernet0/0/2] quit 

[Router| interface loopback 0 

[Router-Loopback0] ip address 192.168.11.1 24 

[Router-Loopback0] quit 

[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.10 


(2) 创建 RSA 密 钥 对 ， 名 称 为 rsa_ scep，2048 位 ， 可 导出 。 


[Router] pki rsa local-key-pair create rsa_ scep exportable 
Info: The name of the new key-pair will be: rsa_ scep 
The size of the public key ranges from $512 to 4096. 
Input the bits in the modules:2048 
Genoratng Koy-Dase... ~ 二 


(3) 配置 PKI (包括 PKI 实体 和 PKI 域 )。 
# 配置 PKI 实体 。 


[Router] pki entity lycb 
[Router-pki-entity-lycb] common-name hello 
[Router-pki-entity-lycb] country CN 
[Router-pki-entity-lycb] quit 


# 配置 PKI 域 。 


[Router] pki realm admin 

[Router-pki-realm-admin] entity lycb 

[Router-pki-realim-admin| caid ca a 

[Router-pki-realm-admin] fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0 
[Router-pki-realm-admin| password cipher 6AE73F21E6D3571D 


(4) 通过 SCEP 协议 自动 注册 和 更 新 数字 证 书 。 
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[Router-pki-realm-admin] rsa local-key-pair rsa_scep 

[Router-pki-realm-admin] enrollment-url http://10.2.1.9:8080/certsrv/mscep/mscep.dll ra 
[Router-pki-realm-admin| auto-enroll 60 regenerate 2048 

[Router-pki-realm-admin] quit 


(5) 配置 SSL 服务 器 策略 和 HTTPS 服务 需 。 


[Router] ssl policy adminserver type server 
[Router-ssl-policy-adminserver] pki-realm admin 
[Router-ssl-policy-adminserver|] quit 

[Router] http secure-server ssl-policy adminserver 
[Router] sslvpn server port 1025 


(6) 配置 SSL VPN。 

# 配置 IP 地 址 池 ， 用 于 Router 为 远程 用 户 分 配 企业 内 网 的 IP 地 址 。 卫 地 址 池 中 
的 了 PP 地 址 可 与 内 网 资源 主机 的 下 地 址 在 不 同 网 段 。 

[Router] ip pool pool 1] 

[Router-ip-pool-pool 1] network 192.168.11.0 mask 24 

[Router-ip-pool-pool 1] dns-list 10.1.2.9 ”#--- 指 定 DNS 服务 器 地 址 ， 用 于 远程 用 户 通过 域名 访问 内 网 资源 

[Router-ip-pool-pool 1] gateway-list 192.168.11.1 #--- 这 是 前 面 所 创建 的 lopback0 接口 的 IP 地 址 

[Router-ip-pool-pool 1|] quit 


# ”创建 远程 用 户 。 


[Router] aaa 

[Router-aaa] domain domain!1 

[Router-aaa-domain-domain1] quit 

[Router-aaa] local-user admin(@Wdomain] password 

Please configure the login password (8-128) 

It is recommended that the password consist of at least 2 types of characters, i 
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password: /--- 输 入 密码 Huawei@1234 

Please confirm password: ”//--- 重 复 输 入 密码 Huawei@1234 

Info: Add a new user. 

Warning: The new user supports all access modes. The management user access mode 
s such as Telnet SSH, FTP, HTTP, and Terminal have security risks. You are advi 
sed to configure the required access modes only. 

[Router-aaa] local-user admin(@domain! service-type sslvpn 


[Router-aaa] quit 
# 创建 虚拟 网 关 gatewayl 并 配置 虚拟 网 关 基 本 参数 。 


[Router] sslvpn gateway gateway1l 

[Router-sslvpn-gatewayl] intranet interface gigabitethernet 0/0/1 
[Router-sslvpn-gatewayl| bind domain domalinl 
[Router-sslvpn-gateway1] enable 


# ”在 虚拟 网 关 gatewayl 上 配置 网 络 扩 展业 务 ， 实 现 远 程 用 户 通 过 网 络 层 访问 企业 
内 网 资源 。 在 此 通过 配置 隧道 分 离 模 式 路 由 的 目的 IP 地 址 为 192.168.4.0/24， 限 定 远程 
用 户 仅 可 访问 该 网 段 中 的 资源 。 

[Router-sslvpn-gateway1] service-type ip-forwarding resource | 

[Router-sslvpn-gateway1-if-res-1] bind ip-pool pool 1 #--- 绑 定 用 于 为 远程 用 户 虚拟 网 卡 分 配 IP 地 址 的 全 地 址 池 

[Router-sslvpn-gateway1-if-res-1] route-mode split #--- 指 定 采 用 隧道 分 离 的 路 由 模式 

[Router-sslvpn-gateway1-if-res-1] route-split ip address 192.168.4.0 mask 255.255.255.0 #--- 配 置 隧道 分 离 模式 下 远程 用 
户 路 由 


[Router-sslvpn-gatewayl-1it-res-1 | quit 


通过 DNS 域名 形式 访问 虚拟 网 关 时 ， 还 需要 配置 域名 解析 功能 (Router 到 DNS 服 
务 硕 的 路 由 配置 略 )。 
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[Router] dns resolve 
[Router] dns server 10.1.1.9 


3. 配置 结果 验证 

以 上 配置 完成 后 ， 出 差 员 工 在 浏览 器 的 地 址 栏 输入 虚拟 网 关 地 址 “https:/202.1.1.9: 
1025/gateway1”( 当 配置 了 域名 解析 功能 时 ， 可 以 根据 DNS 服务 器 上 的 配置 通过 域名 访 
问 虚 拟 网 天 )， 进 入 SSL VPN 网 关 登 录 页 面 。 然 后 在 登录 页 面 中 输入 用 户 名 和 密码 ， 认 
证 成 功 后 ， 在 “网 络 扩展 ”页 面 单 击 “ 启 动 ” 后 ， 可 以 与 PC1 实现 网 络 层 互通 。 


9.5.4 ”多 虚拟 网 关 配 置 示例 


如 图 9-22 所 示 ， 某 企业 通过 Router 与 Internet 相连 接 ， 位 于 企业 外 网 的 企业 出 差 员 

工 、 客 户 都 需要 通过 Router 安全 访问 企业 内 网 资源 。 出 差 员 工 需 要 远程 访问 企业 内 网 的 

Web 服务 器 ， 通 过 Telnet 方式 〈TCP 端口 号 :23) 远程 访问 企业 内 网 的 应 用 服务 器 ，Ping 

通 〈TCP 端口 号 :3389) 企业 内 网 主机 PC1。 客 户 需 要 远程 访问 企业 内 网 的 Web 服务 器 。 
出 差 员 工 


用 户 名 : liming@domainl DNS 服 务 器 应 用 服务 器 
密码 : liming123 10.1.1.9/24 oa 


/7 GE0/0/2 









PC1 





~ 






pg 
区 
人 GEO/0/1 
es 192.168.1.9/24 











Web 服 务 器 1 







1 硬 本 SSL VPN 网 关 

p= 用 CA 服务 器 GE0/0/3 
让 10.2.1.9/24 192.168.10.9/24 Web 服 务 器 2 
用 户 名 : wanghong@domain2 企业 总 部 


密码 : wanghong123 一 一 一 一 远程 用 户 访 问 通 道 


企业 内 网 资源 IP 地 址 /域名 
Web 服 务 器 1 


10.82.55.192/32 

We 有 l 务 2 
应 用 服务 器 192.168.3.9/24 
192.168.2.9/24 


图 9-22 多 虚拟 网 关 配 置 示例 的 拓扑 结构 


1. 基本 配置 思路 分 析 

本 示例 有 企业 员工 和 客户 两 种 不 同类 型 用 户 (属于 不 同 AAA 域 )， 其 中 企业 员工 的 
访问 包括 Web 代理 业务 、 端 口 转发 业务 和 网 络 扩展 业务 全 部 的 三 种 业务 类 型 ， 而 客户 仅 
需要 访问 Web 代理 业务 ， 所 以 本 示例 可 以 看 成 是 9.5.1 节 、9.5.2 节 和 9.5.3 节 所 介绍 的 
配置 示例 的 综合 。 

总 体 配置 思路 与 前 面 各 节 介 绍 的 配置 示例 的 配置 思路 差不多 ， 只 不 过 本 示例 分 属于 
不 同 AAA 域 中 的 用 户 ， 所 以 要 创建 两 个 SSL VPN 虚拟 网 关 ， 然 后 在 这 两 个 虚拟 网 关上 
分 别 配 置 对 应 用 户 所 需要 的 业务 类 型 。 

以 下 是 本 示例 的 基本 配置 思路 : 

(1) 配置 Router 与 外 网 远程 终端 路 由 可 达 《〈 内 网 路 由 在 此 不 作 介绍 7); 
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(2) 创建 RSA 密 钥 对 ; 

(3) 配置 PKI (包括 PKI 实体 和 PKI 域 ); 

(4) 配置 通过 SCEP 协议 自动 注册 本 地 证 书 ; 

(5) 配置 SSL 服务 右 策 略 和 HTTPS 服务 器 ; 

(6) 配置 SSL VPN, 包括 创建 两 个 属于 不 同 AAA 域 的 远程 用 户 , 创建 两 个 SSL VPN 
虚拟 网 关 并 与 两 个 不 同 的 AAA 域 进 行 绑 定 ， 再 配置 各 虚拟 网 天 上 上 所 需 业 务 。 

2， 具 体 配置 步骤 

(1) 配置 接口 的 I 了 P 地 址 和 到 达 外 网 的 缺 省 路 由 ， 假 设 下 一 跳 地 址 为 202.1.1.10。 

这 里 新 建 了 一 个 Loopback0 接口 ， 作 为 在 提供 网 络 扩展 业务 访问 时 为 远程 访问 用 户 
虚拟 网 卡 分 配 卫 地 址 的 IP 地 址 池 的 网 关 。 


<Huawel> system-view 





[Huawell sysname Ronuter 

[Router] interface GigabitEthernet 0/0/1 
[Router-GigabitEthernet0/0/1|] ip address 192.168.1.9 24 
[Router-GigabitEthernet0/0/1] quit 

[Router| interface GigabitEthernet 0/0/2 
[Router-GigabitEthernet0/0/2| ip address 202.1.1.9 24 
[Router-GigablitEthermet0/0/2] quit 

[Router] interface GigabitEthernet 0/0/3 
[Router-GigabitEthernet0/0/3] ip address 192.168.10.9 24 
[Router-GigabitEthernet0/0/3] quit 

[Router] interface loopback 0 

[Router-Loopback0| ip address 192.168.11.1 24 
[Router-Loopback0] quit 

[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.10 


通过 DNS 域名 形式 访问 Web 资源 时 , 还 需要 配置 动态 域名 解析 功能 (Router 到 DNS 
服务 右 的 路 由 略 )。 


[Router] dns resolve 
[Router] dns server 10.1.1.9 


(2) 创建 RSA 密 钥 对 ， 名 称 为 〈rsa scep，2048) 位 ， 可 导出 。 


[Router] pki rsa local-key-pair create rSa_Scep exportable 
Info: The name of the new key-pair will be: rsa_scep 
The size of the public key ranges from $12 to 4096. 
Input the bits in the modules:2048 
Generating key-paites... 141+ 


(3) 配置 PKI (包括 PKI 实体 和 PKI 域 )。 
# 配置 PKI 实体 。 


[Router] pki entity lycb 
[Router-pki-entity-lycb] common-name hello 
[Router-pki-entity-lycb] country CN 
[Router-pki-entity-ljycb] quit 


# 配置 PKI 域 。 


[Router] pki realm admin 

[Router-pki-realm-admin] entity lycb 

[Router-pki-realm-admin| ca id ca a 

[Router-pki-realm-admin] fingerprint sha256 e71add0744360e91186b828412d279e06dcc15a4ab4bb3d13842820396b526a0 
[Router-pki-realm-admin| password cipher 6AE73F21E6D3571D 
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(4) 通过 SCEP 协议 自动 注册 和 更 新 数字 证 书 。 
[Router-pki-realm-admin] rsa local-key-pair rsa_ scep 
[Router-pki-realm-admin] enroliment-url http://10.2.1.9:8080Q/certsrv/mscep/mscep.dll ra 


[Router-pki-realm-admin| auto-enroll 60 regenerate 2048 
[Router-pki-realm-admin| quit 


(5) 配置 SSL 服务 器 策略 和 HTTPS 服务 器 。 


[Router] ssl poliey adminserver type server 
[Router-ssl-policy-adminserver| pki-realm admin 
[Router-ssl-policy-adminserver| quit 

[Router] http secure-server ssl-policy adminserver 
[Router] sslvpn server port 1025 


(6) 配置 SSL VPN。 
# 配置 卫 地 址 池 ， 用 于 Router 为 远程 用 户 分 配 企 业内 网 的 IP 地 址 。 


[Router] ip pool pool 1 

[Router-ip-pool-pool 1] network 192.168.11.0 mask 24 
_ [Router-ip-pool-pool 1] gateway-list 192.168.11.1 

[Router-ip-pool-pool 1] guit 


# 创建 两 个 AAA 域 ， 以 及 各 目的 远程 用 户 。 


[Router] aaa 

[Router-aaa] domain domainl 

[Router-aaa-domain-domain1|] quit 

[Router] aaa 

[Router-aaa] domain domain2 

[Router-aaa-domain-domain2] quit 

[Router-aaa] local-user liming@domainl password cipher Liming@123 #-- 创 建 出 差 员 工 用 户 账户 
[Router-aaal] local-user liming@domain!1 service-type sslvpn 

[Router-aaa] local-user wanghong@domain2 password cipher Wanghong@123 #--- 创 建 客户 用 户 账户 
[Router-aaa] local-user wanghong(@domain2 service-type sslvpn 

[Router-aaa| quit 


# ”创建 出 差 员 工 对 应 的 虚拟 网 关 并 配置 相应 参数 。 

出 差 员 工 对 应 的 虚拟 网 关 需 要 同时 配置 Web 代理 业务 , 供 员工 远程 访问 企业 内 网 的 
Web 服务 器 ; 配置 问 口 转发 业务 , 供 员工 以 Telnet 方式 远程 访问 企业 内 网 的 应 用 服务 器 ; 
配置 网 络 扩展 业务 ， 供 员工 执行 对 PC1 的 Ping 操作 。 


[Router] sslvpn gateway gateway1l 

[Router-sslvpn-gateway1] intranet interface Gigabitethernet 0/0/1 

[Router-sslvpn-gateway]l1] bind domain domain! 

[Router-sslvpn-gatewayl] enable 

[Router-ssljvpn-gateway1lj service-type web-proxy resource ] 

[Router-sslvpn-gateway1-wp-res-1] link http://192.168.11.11/ #-- 以 IP 地址 方式 创建 访问 Webl 服务 器 的 Web 代理 业务 
[Router-sslvpn-gateway1-wp-res-1] quit 

[Router-sslvpn-gateway!1 | service-type web-proxy resource 2 

[Router-sslvpn-gateway1-wp-res-2] link http://support.huawei.com/ #--- 以 域名 方式 创建 访问 Web2 服务 器 的 Web 代理 业务 
[Router-sslvpn-gatewayl-wp-res-2] quit 

[Router-sslvpn-gateway! | service-type port-forwarding resource | 

[Router-sslvpn-gateway1-pf-res-1] server ip-address 192.168.2.9 port 3389 #--- 创 建 与 PC1 实现 桌面 共享 的 端口 转发 业务 
[Router-sslvpn-gatewayl-pf-res-1| description mstsc 

[Router-sslvpn-gateway1-pf-res-1] quit 

[Router-sslvpn-gatewayl | service-type port-forwarding resource 2 

[Router-sslvpn-gateway1-pf-res-2] server ip-address 192.168.3.9 port 23 #--- 创 建 Telnet 应 用 服务 器 的 端口 转发 业务 
[Router-ssljvpn-gateway1-pf-res-2] description Telnet 

[Router-sslvpn-gatewayl-pf-res-2| quit 
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[Router-Sslvpn-gateway1] service-type ip-forwarding resource ] 

[Router-sslvpn-gateway1-if-res-1] bind ip-pool pool 1 #--- 指 定 为 远程 用 户 虚拟 网 卡 分 配 IP 地 址 的 IP 地 址 池 

[Router-sslvpn-gateway1-if-res-1] route-mode split #--- 指 定 采用 隧道 分 离 路 由 模式 

[Router-sslvpn-gateway1-if-res-1] route-split ip address 192.168.4.0 mask 255.255.255.0 #--- 指 定 远 程 用 户 可 以 使 用 的 
隧道 分 离 模式 路 由 192.168.4.0/24， 限 定 远 程 用 户 可 以 访问 该 网 段 资源 

[Router-sslvpn-gatewayl-if-res-1| quit 

# 创建 客户 对 应 的 虚拟 网 关 并 配置 相应 参数 。 

客户 对 应 的 虚拟 网 关 配 置 Web 代理 业务 ， 远 程 访问 企业 内 网 的 Web 服务 器 。 

[Router] sslvpn gateway gateway2 

[Router-sslvpn-gateway2] intranet interface Gigabitethernet 0/0/3 

[Router-sslvpn-gateway2| bind domain domain2 

[Router-sslvpn-gateway2] enable 

[Router-sslvpn-gateway2] service-type web-proxy resource 1 

[Router-sslvpn-gateway2-wp-res-1] link http://10.82.55.192/ ”#--- 以 IP 地 址 方式 创建 访问 Webl 服务 器 的 Web 代理 业务 

[Router-sslvpn-gateway2-wp-res-1] quit 

[Router-sslvpn-gateway2] service-type web-proxy resource 2 

[Router-sslvpn-gateway2-wp-res-2] link http:/supporthuawei.com/ #-- 以 域名 方式 创建 访问 Web2 服务 器 的 Web 代理 业务 

[Router-sslvpn-gateway2-wp-res-2] quit 


3， 配置 结 采 验证 

以 上 配置 完成 后 ， 出 差 员工 在 浏览 器 的 地 址 栏 输入 虚拟 网 关 地 址 “https:/202.1.1.9: 
1025/gatewayl1”， 进 入 SSL VPN 网 天 登录 页 面 。 在 登录 界面 中 输入 用 户 名 和 密码 ， 认 证 
成 功 后 ， 在 “Web 代理 ”页 面 中 可 以 单 击 相应 的 链接 对 对 应 的 Web 服务 器 进行 访问 ， 在 
“并 口 转发 ”页 和 面 中 人 查看 可 以 访问 的 TCP 资源 列表 ， 单 击 “ 启 动 ”按钮 后 ， 通 过 Telnet 
应 用 程序 可 访问 应 用 服务 器 。 在 “网 络 扩 展 ” 页 面 单 击 “ 启 动 ” 按 钮 后 ， 通 过 ping 操作 
测试 与 PC1 的 连通 性 。 

客户 在 浏览 器 的 地 址 栏 输入 虚拟 网 关 地 址 “https:/202.1.1.9:102S/gateway2”， 进 入 
SSL VPN 网 天 登 录 页 面 。 在 登录 界面 中 输入 用 户 名 和 密码 ， 认 证 成 功 后 ,在 “Web 代理 ” 
页 面 中 可 以 单 击 相应 的 链接 对 对 应 的 Web 服务 器 进行 访问 。 


